一、PE工具篇
PEiD:一款著名的PE侦壳工具,可以检测PE常见的一些壳,但是目前已经无法从官网获得。
EXEInfoPE:PE侦壳工具,PEiD的加强版,可以查看EXE/DLL文件编译器信息、是否加壳、入口点地址、输出表/输入表等等PE信息。
DetectIt Easy:开源的PE侦壳工具,是一个跨平台的应用程序,有Windows、Linux、Mac OS多个可用版本。
CFFExplorer:优秀的PE32 &PE64编辑工具,可以方便的查看及编辑PE文件,完全支持.NET文件格式。
StudyPE:PE32 & PE64 查看分析集成工具,具有强大的PE结构处理分析功能,在查壳方面功能略显薄弱。
二、调试/反编译工具篇
OllyDbg:Ring3级调试器,支持插件扩展功能,唯一不足的是OD是一个32位调试器,不支持调试64位程序。
WinDbg:支持Windows平台,用户态和内核态的调试器,有图形界面和命令行两种调试方式,具有强大的内核调试功能。
x32dbg/x64dbg:开源的调试器,从界面和操作使用和OD相似,支持32位和64位应用程序的调试,解决了OD对64位应用程序调试上的缺陷。
dnSpy:针对.NET程序的开源逆向程序的工具,包含了反汇编器,调试器和汇编编辑器等功能组件,支持插件功能。
IDAPro:全称Interactive Disassembler Professional,交互式反汇编器专业版,目前最受欢迎的静态反编译工具。
VB Decompiler:针对Visual Basic 5.0/6.0开发的程序的反编译器。
三、应急工具篇
1、日志相关
Sysmon:Windows Sysinternals出品的一款Sysinternals系列中的工具,它以系统服务和设备驱动程序的方法安装在系统上,并保持常驻性。用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息。
LastActivityView:电脑操作记录查看器,直接调用系统日志,显示安装软件、系统启动、关机、网络连接、执行exe 的发生时间和路径。
2、注册表相关
Regshot:注册表比较工具,通过抓取两次注册表快速比较得出两次注册表的不同之处。
Autoruns:基于Windows平台的自动运行程序的管理工具,可以控制登录时的加载程序、驱动程序加载、服务启动、任务计划等 Windows 中各种方面的启动项。
3、进程相关
Process Hacker:一款功能丰富的开源系统进程辅助工具,可以方便的查看进程的运行情况、内存以及模块信息,还可以对进程进行管理。
Power Tool:免费的进程管理器,可以查看文件或文件夹被占用的情况,内核模块和驱动的查看管理,进程模块的内存dump等工具。
Process Lasso:独特的调试进程级别的系统优化工具,主要功能是基于其特别的算法动态调整各个进程优先级以实现为系统减负的目的。可以用来监视进程动作。
4、文件相关
Hash Tab:文件校验工具,分为免费个人版以及付费版。下载安装后可以通过查看文件属性中的Hash Tab快速得到文件的哈希值,支持多种哈希算法。
Hash Checker;开源的文件校验工具,安装完成后可以通过文件属性中的文件校验快速得到文件的哈希值,支持右键菜单创建校验文件功能和批量校验功能。
Unlocker;右键扩充工具,通过删除文件和程序关联的方式解除文件的占用,在解除占用时不会强制关闭占用文件进程。
Everything:强大的Windows桌面搜索引擎,可以在NTFS卷上快速的根据名称查找文件和目录。
Winhex:十六进制编辑器,在计算机取证,数据恢复,低级数据处理和IT安全领域非常有用。
Bin Diff:开源的二进制文件对比工具,可帮助安全人员快速发现反汇编代码中的差异和相似之处。支持x86、MIPS、ARM/AArch64、PowerPC等架构进行二进制文件的对比。
Beyond Compare:由Scooter Software推出的文件比较工具,主要用于比较两个文件夹或者文件并将差异以颜色标记,比较的范围包括目录,文档内容等。
5、内存相关
SfAntiBotPro:内存检索工具,可以根据输入的字符串快速检索计算机内存,输出包含该字符串的进程信息,在进行恶意域名检测时有事半功倍的效果。
DumpIt:免安装的Windows内存镜像取证工具,可以使用其轻松的将一个系统的完整内存镜像下来,并用于后续的调查取证工作。
6、设备监控
USBLogView:USB设备监控软件,后台运行,可以记录插入或拔出系统的任何USB的详情信息。
7、集成工具
PC Hunter:驱动级的系统维护工具,能够查看各种Windows的各类底层系统信息,包括进程、驱动模块、内核、内核钩子、应用层钩子,网络、注册表、文件、启动项、系统杂项、电脑体检等。
Malware Defender:HIPS主机入侵防御系统软件,用户可以编写规则来防范病毒、木马的侵害。另外,Malware Defender提供了很多有效的工具来检测和删除已经安装在美国服务器系统中的恶意软件。
火绒剑:用于分析、处理恶意程序的安全工具软件,提供了“程序行为监控”、“进程管理”、“文件管理”、“注册表管理”、“系统启动项管理”、”内核程序管理“、“代码钩子扫描”七大功能。
四、流量分析工具篇
WireShark:网络封包分析工具,可以帮助用户深入分析网络协议,涵盖上百种协议以及各类主要平台,通过GUI或TTY-mode浏览数据。
Fiddler:C#编写的http抓包改包工具,相较wireshark更加轻量级,在http和https数据包的抓取上更加专业。还能设置断点,修改请求和响应的数据,模拟弱网络环境,支持插件拓展。
Microsoft Network Monitor:只支持Windows平台的网络数据分析工具,提供了一个专业的网路实时流量图形界面,拥有识别和监控超过300种网络协议的能力。
Capsa Packet Sniffer:网络分析工具,用于网络监控、故障排除和网络诊断等功能。
Network Miner:支持Windows平台的网络取证分析工具,通过嗅探或者分析PCAP文件可以侦测到操作系统,主机名和开放的网络端口主机。
Angry IP Scanner:开源的网络扫描仪,支持Linux,Windows和Mac OS X平台,可以在最短的时间内扫描远端主机IP运作情况,包括主机名,目前开放的端口和IP的运作情况。
五、Web Shell查杀工具篇
D盾:D盾是一个专为IIS设计的主动防御保护软件,有一句话免疫,主动后门拦截,SESSION保护,防WEB嗅探,防CC,防篡改,注入防御,防XSS,防提权,上传防御,未知0day防御,异形脚本防御等功能,以内外保护的方式防止网站和美国服务器被入侵。
Web Shell Killer:Web Shell Killer是个Web后门专杀工具,不仅支持Web shell扫描,还支持暗链扫描。该工具将传统的技术与人工智能技术相结合、静态扫描和动态分析相结合,更精准的检测出Web网站已知和未知的后门文件。
部分文章来源与网络,若有侵权请联系删除,谢谢!
(责任编辑:Anny) 部分网站内容及图片来源于网络,如有侵权或违规内容请联系管理员删除!
