网络安全应急响应 - 04 - 常用工具介绍
SysinternalsSuite
SysinternalsSuite是一个工具集合。其中的工具可以用于管理、故障分析和诊断Windows系统及应用程序。
例如:
使用ADExplorer
可轻松实现导航AD数据库、定义收藏位置、查看对象属性,而无须打开对话框、编辑权限、查看对象的架构,以及执行复杂搜索;
使用TCPView
可查看网络连接情况 ;
使用PsExec
可在远程系统上启动交互式命令提示和IPConfig等远程启用工具;
使用Autoruns
可对进程、服务、启动项等进行检测;
使用procdump
可对内存进行获取等。
下载链接:https://docs.microsoft.com/zh-cn/sysinternals/downloads/
PCHunter/火绒剑/PowerTool
这些都是强大的内核级监控工具,可以查看进程、驱动模块、内核、网络、注册表、文件等信息。
PCHunter:http://www.xuetr.com/?p=191
火绒客户端 - 安全工具 - 高级工具 - 火绒剑
PowerTool:https://sourceforge.net/projects/powertool/
Process Monitor
Process Monitor可以监控程序的各种操作,其中主要监控程序的文件系统、注册表、进程、网络、分析。
由于Process Monitor监控的是系统中所有程序的行为,数据量往往很大,因此为了方便分析数据,可以设置过滤选项,通过选择【Filter】菜单中的【Filter】命令,打开【Process Monitor Filter】对话框进行设置。
Event Log Explorer
Event Log Explorer是一个检测系统安全的工具,可以查看、监视和分析日志事件,包括安全、系统、应用程序和其他Windows系统记录事件。
FullEventLogView
FullEventLogView是一个轻量级的日志检索工具,能够显示并查看Windows系统事件日志的详细信息,可以查看本地计算机的事件,也可以查看远程计算机的事件,并可将事件导出为text、csv、tab-delimited、html、xml等格式文件.
Log Parser
Log Parser是微软公司推出的日志分析工具,功能强大,使用简单,可以分析基于文本的日志文件、xml格式文件、csv(逗号分隔符)格式文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询、分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。
下载链接:https://www.microsoft.com/en-us/download/details.aspx?id=24659
ThreatHunting
ThreatHunting是观星实验室开发的工具,可以对日志、进程、Webshell等进行检测。
WinPrefetchView
WinPrefetchView是一个预读文件(Prefetch文件)查看器,用于读取储存在系统中的预读文件。
下载链接:https://www.majorgeeks.com/files/details/winprefetchview.html
WifiHistoryView
WifiHistoryView 是一个自动读取系统里无线网络连接记录的工具,运行后可以查看连接的时间、事件发生的类型、所用到的网卡、连接上的网络SSID名称、加密类型等信息。