常用的網絡安全應急響應工具有哪些

ProcessHacker

　　是一款不錯的進程分析工具，可查看所有進程信息，包括進程加載的dll、進程打開的文件、進程讀寫的注冊表……也可以將特定進程的內存空間Dump到本地，此外還可以查看網絡連接。

ProcessExplorer

　　是一款不錯的進程分析工具，微軟官方推薦工具，穩定性和兼容性相對不錯。可查看所有進程的信息，包括其加載的dll、創建的線程、網絡連接……同樣可以Dump出進程的內存空間到本地。

ProcessMonitor

　　是一款實時刷新的進程信息監控工具，微軟官方推薦工具，穩定性和兼容性也是相對出色。展示的信息很全面，且每一個打開的句柄、注冊表、網絡連接……都與具體的進程關聯起來。

Xue Tr

　　是一個Windows系統信息查看軟件，可協助排查木馬、后門等病毒。

PCHunter

　　XueTr的增強版，功能和XueTr差不多，可參考上圖。推薦更多使用PCHunter，減少出故障的概率。

ProcessDump

　　可對指定的進程，將其進程空間內的所有模塊單獨Dump出來，甚至可Dump出隱藏的模塊(即進程加載的dll，這里通常是被注入)。

PsTools

　　是命令行工具集，微軟官方推薦，功能多而全。

Wireshark

　　是一款常用的網絡抓包工具，同時也可以用于流量分析。

TCPView

　　查看系統的網絡連接詳情，每一條連接對應的進程、協議、進程、源目地址、源目端口、連接狀態……總之，可展示當前活躍連接的所有詳細信息。

AutoRuns

　　一款不錯的啟動項分析工具，微軟官方推薦。只要涉及到啟動項相關的信息，事無巨細，通通都可以查詢得到，非常方便找到病毒的啟動項。

FastIR

　　收集操作系統的關鍵日志、關鍵信息，方便后續取證和排查分析。收集瀏覽器的歷史記錄，方便追溯域名、URL的訪問來源是否源自于用戶行為。

回答所涉及的環境：聯想天逸510S、Windows 10。