應急響應所需工具（上）

0X00 簡介：

文中所涉及到的工具均來自于應急響應實戰筆記的歸納總結，gitbook地址：https://bypass007.github.io/Emergency-Response-Notes/。這里僅僅供個人查詢使用，不作他用。文中提到的工具使用方法以gitbook的內容為主，如果找不到就請自行百度。

0X01 病毒分析（win）：

PCHunter：http://www.xuetr.com

火絨劍：https://www.huorong.cn

Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker：https://processhacker.sourceforge.io/downloads.php

autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL：https://www.bleepingcomputer.com/download/otl/

SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

0X02 病毒查殺（win）：

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe （推薦理由：綠色版、最新病毒庫）

大蜘蛛：http://free.drweb.ru/download+cureit+free（推薦理由：掃描快、一次下載只能用1周，更新病毒庫）

火絨安全軟件：https://www.huorong.cn

360殺毒：http://sd.#/download_center.html

0X03 病毒動態（win）：　

CVERC-國家計算機病毒應急處理中心：http://www.cverc.org.cn

微步在線威脅情報社區：https://x.threatbook.cn

火絨安全論壇：http://bbs.huorong.cn/forum-59-1.html

愛毒霸社區：http://bbs.duba.net

騰訊電腦管家：http://bbs.guanjia.qq.com/forum-2-1.html

0X04 在線病毒掃描工具（win）：

http://www.virscan.org //多引擎在線病毒掃描網 v1.02，當前支持 41 款殺毒引擎

https://habo.qq.com //騰訊哈勃分析系統

https://virusscan.jotti.org //Jotti惡意軟件掃描系統

http://www.scanvir.com //針對計算機病毒、手機病毒、可疑文件等進行檢測分析

0X05 webshell查殺（win）：

D盾_Web查殺：

官網：http://www.d99net.net/index.asp

工具下載地址：http://www.d99net.net/down/d_safe_2.1.5.4.zip

阿D出品，使用自行研發不分擴展名的代碼分析引擎，能分析更為隱藏的WebShell后門行為。

兼容性：只提供Windows版本。

百度WEBDIR+：

在線掃描：https://scanner.baidu.com/

下一代WebShell檢測引擎，采用先進的動態監測技術，結合多種引擎零規則查殺。

兼容性：提供在線查殺木馬，免費開放API支持批量檢測。

河馬webshell查殺：

官網：http://www.shellpub.com

專注webshell查殺研究，擁有海量webshell樣本和自主查殺技術，采用傳統特征+云端大數據雙引擎的查殺技術。查殺速度快、精度高、誤報低。

兼容性：支持Windows、linux，支持在線查殺。

Web Shell Detector：

官網：http://www.shelldetector.com/

Webshell Detector具有“ Webshell”簽名數據庫，可幫助識別高達99％的“ Webshell”。

兼容性：提供php/python腳本，可跨平臺，在線檢測。

CloudWalker（牧云）：

在線查殺demo：https://webshellchop.chaitin.cn/

github項目地址：https://github.com/chaitin/cloudwalker

一個可執行的命令行版本 Webshell 檢測工具。目前，項目已停止更新。

兼容性，提供linux版本，Windows 暫不支持。

深度學習模型檢測PHP Webshell：

在線查殺地址：http://webshell.cdxy.me/

一個深度學習PHP webshell查殺引擎demo，提供在線樣本檢測。

PHP Malware Finder：一款優秀的檢測webshell和惡意軟件混淆代碼的工具

github項目地址：https://github.com/jvoisin/php-malware-finder

findWebshell：一款基于python開發的webshell檢查工具，可以根據特征碼匹配檢查任意類型的webshell后門。

github項目地址：https://github.com/he1m4n6a/findWebshell

在線查殺地址：http://tools.bugscaner.com/killwebshell/

通過對流行webshell和后門的代碼特征快速定位出文件是否是木馬文件！目前只針對PHP文件代碼檢測,其他類型的語言,暫時不支持。

Safe3：http://www.uusec.com/webshell.zip

0X06 應急linux所需的工具：

1、Rootkit查殺：

1）chkrootkit：http://www.chkrootkit.org

2）rkhunter：http://rkhunter.sourceforge.net

2、病毒查殺：

Clamav：http://www.clamav.net/download.html

3、webshell查殺：

河馬webshell查殺：http://www.shellpub.com

深信服Webshell網站后門檢測工具：http://edr.sangfor.com.cn/backdoor_detection.html

4、安全檢查腳本：　

https://github.com/grayddq/GScan

https://github.com/ppabc/security_check

https://github.com/T0xst/linux