2-應急響應常用工具

https://www.cnblogs.com/nul1/p/12389403.html

1 進程分析工具

1.1 ProcessHacker

功能：ProcessHacker是一款不錯的進程分析工具，可查看所有進程信息，包括進程加載的dll、進程打開的文件、進程讀寫的注冊表……，也可以將特定進程的內存空間Dump到本地，此外還可以查看網絡連接。

工具截圖如下：

注：查看具體進程的詳細信息，雙擊Processes列表中的進程名字即可。

1.2 ProcessExplorer

功能：ProcessExplorer是一款不錯的進程分析工具，微軟官方推薦工具，穩定性和兼容性相對不錯。可查看所有進程的信息，包括其加載的dll、創建的線程、網絡連接……，同樣可以Dump出進程的內存空間到本地。

1.3 ProcessMonitor

功能：ProcessMonitor是一款實時刷新的進程信息監控工具，微軟官方推薦工具，穩定性和兼容性也是相對出色。展示的信息很全面，且每一個打開的句柄、注冊表、網絡連接……都與具體的進程關聯起來。

1.4 XueTr

功能：XueTr（官網www.xuetr.com）是一個Windows系統信息查看軟件，可協助排查木馬、后門等病毒，功能包含：

1.進程、線程、進程模塊、進程窗口、進程內存、定時器、熱鍵信息查看，殺進程、殺線程、卸載模塊等功能

2.內核驅動模塊查看，支持內核驅動模塊的內存拷貝

3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看，并能檢測和恢復ssdt hook和inline hook

4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，并支持對這些Notify Routine的刪除

5.端口信息查看

6.查看消息鉤子

7.內核模塊的iat、eat、inline hook、patches檢測和恢復

8.磁盤、卷、鍵盤、網絡層等過濾驅動檢測，并支持刪除

9.注冊表編輯

10.進程iat、eat、inline hook、patches檢測和恢復

11.文件系統查看，支持基本的文件操作

12.查看（編輯）IE插件、SPI、啟動項、服務、Host文件、映像劫持、文件關聯、系統防火墻規則、IME

13.ObjectType Hook檢測和恢復

14.DPC定時器檢測和刪除

15.MBR Rootkit檢測和修復

16.內核對象劫持檢測

17.其它一些手工殺毒時需要用到的功能，如修復LSP、修復安全模式等

1.5 PCHunter

功能：XueTr的增強版，功能和XueTr差不多，可參考上圖。推薦更多使用PCHunter，減少出故障的概率。

1.6 ProcessDump

功能：可對指定的進程，將其進程空間內的所有模塊單獨Dump出來，甚至可Dump出隱藏的模塊（即進程加載的dll，這里通常是被注入）。

注：這是個命令行工具。

1.7 PsTools

功能：PsTools是命令行工具集，微軟官方推薦，功能多而全，其涵蓋的子功能（命令）如下：

2 流量分析工具

2.1 Wireshark

功能：Wireshark是一款常用的網絡抓包工具，同時也可以用于流量分析。

2.2 科來網絡分析

功能：科來公司的一款流量分析工具，對比Wireshark要相對易用些（特別是流量分析入門人員），此外，該工具會自動將流量進行歸類和統計。在某種意味上，還是比較方便的。

2.3 TCPView

功能：查看系統的網絡連接詳情，每一條連接對應的進程、協議、進程、源目地址、源目端口、連接狀態……總之，可展示當前活躍連接的所有詳細信息。

3 啟動項分析工具

3.1 AutoRuns

功能：一款不錯的啟動項分析工具，微軟官方推薦。只要涉及到啟動項相關的信息，事無巨細，通通都可以查詢得到，非常方便找到病毒的啟動項。

4 信息收集工具

4.1 FastIR

功能：收集操作系統的關鍵日志、關鍵信息，方便后續取證和排查分析。

4.2 BrowsingHistoryView

功能：收集瀏覽器的歷史記錄，方便追溯域名、URL的訪問來源是否源自于用戶行為。

5 輔助工具

5.1 Hash

功能：文件hash計算工具，可計算文件MD5、SHA1、CRC值，可用于輔助判斷文件是否被篡改，或者使用哈希值到威脅情報網站查看是否為惡意文件。

5.2 ntfsdir

功能：病毒也有可能是以創建服務啟動項的方式保持長久運行，點擊Autoruns的Services功能，如下圖，檢查是否有異常的服務啟動項。

5.3 Unlocker

功能：可對難以刪除的文件進行強制刪除（包括鎖定的文件），需安裝，安裝后右鍵菜單”Unlocker“即可彈出如下界面：

6 Webshell查殺工具

6.1 wscan

功能：深信服自研的一款Webshell查殺工具。

6.2 D盾

功能：D盾是迪元素科技的一款Webshell查殺工具。

7 專殺工具

7.1 飛客蠕蟲專殺

功能：專門針對飛客蠕蟲病毒進行查殺的工具。

飛客蠕蟲專殺工具有kidokiller（卡巴斯基出品）、TMCleanTool（趨勢科技出品）。

Kidokiller運行截圖如下，紅色方框的所有0值表明沒有中飛客蠕蟲，如果有非0值，即說明中了飛客蠕蟲。

TMCleanTool的運行截圖如下，有威脅項即表明中了飛客蠕蟲。

7.2 Ramnit專殺

功能：專門針對Ramnit類家族病毒進行查殺的工具。

FxRamnit是賽門鐵克出品的Ramnit專殺工具，其運行界面如下，點擊”Start“按鈕即可：

注：由于Ramnit是全盤感染性病毒，故此專殺工具運行時間比較長，需耐心等待（FxRamnit常常給人一種”假死“的感覺）。