應急響應常用工具有哪些

應急響應常用工具有以下十種：

• ProcessHacker

  功能：ProcessHacker是一款不錯的進程分析工具，可查看所有進程信息，包括進程加載的dll、進程打開的文件、進程讀寫的注冊表……，也可以將特定進程的內存空間Dump到本地，此外還可以查看網絡連接。

• ProcessExplorer

  功能：ProcessExplorer是一款不錯的進程分析工具，微軟官方推薦工具，穩定性和兼容性相對不錯。可查看所有進程的信息，包括其加載的dll、創建的線程、網絡連接……，同樣可以Dump出進程的內存空間到本地。

• ProcessMonitor

  功能：ProcessMonitor是一款實時刷新的進程信息監控工具，微軟官方推薦工具，穩定性和兼容性也是相對出色。展示的信息很全面，且每一個打開的句柄、注冊表、網絡連接……都與具體的進程關聯起來。

• XueTr

  功能：XueTr是一個Windows系統信息查看軟件，可協助排查木馬、后門等病毒，功能包含：

  進程、線程、進程模塊、進程窗口、進程內存、定時器、熱鍵信息查看，殺進程、殺線程、卸載模塊等功能

  內核驅動模塊查看，支持內核驅動模塊的內存拷貝

  SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看，并能檢測和恢復ssdt hook和inline hook

  CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，并支持對這些Notify Routine的刪除

  端口信息查看

  查看消息鉤子

  內核模塊的iat、eat、inline hook、patches檢測和恢復

  磁盤、卷、鍵盤、網絡層等過濾驅動檢測，并支持刪除

  注冊表編輯

  進程iat、eat、inline hook、patches檢測和恢復

  文件系統查看，支持基本的文件操作

  查看（編輯）IE插件、SPI、啟動項、服務、Host文件、映像劫持、文件關聯、系統防火墻規則、IME

  它一些手工殺毒時需要用到的功能，如修復LSP、修復安全模式等

• PCHunter

  功能：XueTr的增強版，功能和XueTr差不多，可參考上圖。推薦更多使用PCHunter，減少出故障的概率。

• Wireshark

  功能：Wireshark是一款常用的網絡抓包工具，同時也可以用于流量分析。

• AutoRuns

  功能：一款不錯的啟動項分析工具，微軟官方推薦。只要涉及到啟動項相關的信息，事無巨細，通通都可以查詢得到，非常方便找到病毒的啟動項。

• FastIR

  功能：收集操作系統的關鍵日志、關鍵信息，方便后續取證和排查分析。

• Hash

  功能：文件hash計算工具，可計算文件MD5、SHA1、CRC值，可用于輔助判斷文件是否被篡改，或者使用哈希值到威脅情報網站查看是否為惡意文件。

• D盾

  功能：D盾是迪元素科技的一款Webshell查殺工具。

回答所涉及的環境：聯想天逸510S、Windows 10。