应急响应所需工具（上）

0X00　　简介：

　　文中所涉及到的工具均来自于应急响应实战笔记的归纳总结，gitbook地址：https://bypass007.github.io/Emergency-Response-Notes/。这里仅仅供个人查询使用，不作他用。文中提到的工具使用方法以gitbook的内容为主，如果找不到就请自行百度。

0X01　　病毒分析（win）：

　　PCHunter：http://www.xuetr.com

　　火绒剑：https://www.huorong.cn

　　Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

　　processhacker：https://processhacker.sourceforge.io/downloads.php

　　autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

　　OTL：https://www.bleepingcomputer.com/download/otl/

　　SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

0X02　　病毒查杀（win）：

　　卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe （推荐理由：绿色版、最新病毒库）

　　大蜘蛛：http://free.drweb.ru/download+cureit+free（推荐理由：扫描快、一次下载只能用1周，更新病毒库）

　　火绒安全软件：https://www.huorong.cn

　　360杀毒：http://sd.360.cn/download_center.html

0X03　　病毒动态（win）：　

　　CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn

　　微步在线威胁情报社区：https://x.threatbook.cn

　　火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html

　　爱毒霸社区：http://bbs.duba.net

　　腾讯电脑管家：http://bbs.guanjia.qq.com/forum-2-1.html

0X04　　在线病毒扫描工具（win）：

　　http://www.virscan.org //多引擎在线病毒扫描网 v1.02，当前支持 41 款杀毒引擎

　　https://habo.qq.com //腾讯哈勃分析系统

　　https://virusscan.jotti.org //Jotti恶意软件扫描系统

　　http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析

0X05　　webshell查杀（win）：

　　D盾_Web查杀：

　　　　官网：http://www.d99net.net/index.asp

　　　　工具下载地址：http://www.d99net.net/down/d_safe_2.1.5.4.zip

　　　　阿D出品，使用自行研发不分扩展名的代码分析引擎，能分析更为隐藏的WebShell后门行为。

　　　　兼容性：只提供Windows版本。

　　

　　百度WEBDIR+：

　　　　在线扫描：https://scanner.baidu.com/

　　　　下一代WebShell检测引擎，采用先进的动态监测技术，结合多种引擎零规则查杀。

　　　　兼容性：提供在线查杀木马，免费开放API支持批量检测。

 

　　河马webshell查杀：

　　　　官网：http://www.shellpub.com

　　　　专注webshell查杀研究，拥有海量webshell样本和自主查杀技术，采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。

　　　　兼容性：支持Windows、linux，支持在线查杀。

 

　　Web Shell Detector：

　　　　官网：http://www.shelldetector.com/

　　　　Webshell Detector具有“ Webshell”签名数据库，可帮助识别高达99％的“ Webshell”。

　　　　兼容性：提供php/python脚本，可跨平台，在线检测。

 

　　CloudWalker（牧云）：

　　　　在线查杀demo：https://webshellchop.chaitin.cn/

　　　　github项目地址：https://github.com/chaitin/cloudwalker

　　　　一个可执行的命令行版本 Webshell 检测工具。目前，项目已停止更新。

　　　　兼容性，提供linux版本，Windows 暂不支持。

 

　　深度学习模型检测PHP Webshell：

　　　　在线查杀地址：http://webshell.cdxy.me/

　　　　一个深度学习PHP webshell查杀引擎demo，提供在线样本检测。

 

　　PHP Malware Finder：一款优秀的检测webshell和恶意软件混淆代码的工具

　　　　github项目地址：https://github.com/jvoisin/php-malware-finder

 

　　findWebshell：一款基于python开发的webshell检查工具，可以根据特征码匹配检查任意类型的webshell后门。

　　　　github项目地址：https://github.com/he1m4n6a/findWebshell

 

　　在线查杀地址：http://tools.bugscaner.com/killwebshell/　　

　　通过对流行webshell和后门的代码特征快速定位出文件是否是木马文件！目前只针对PHP文件代码检测,其他类型的语言,暂时不支持。

 

　　Safe3：http://www.uusec.com/webshell.zip

0X06　　应急linux所需的工具：

　　1、Rootkit查杀：

　　　　1）chkrootkit：http://www.chkrootkit.org

　　　　2）rkhunter：http://rkhunter.sourceforge.net

　　2、病毒查杀：

　　　　Clamav：http://www.clamav.net/download.html

　　3、webshell查杀：　　

　　　　河马webshell查杀：http://www.shellpub.com
　　　　深信服Webshell网站后门检测工具：http://edr.sangfor.com.cn/backdoor_detection.html

　　 4、安全检查脚本：　

　　　　https://github.com/grayddq/GScan

　　　　https://github.com/ppabc/security_check

　　　　https://github.com/T0xst/linux