之前分享过应急响应手工排查时的一些技术点,今天分享一批多平台可用的应急响应工具,能够在应急响应时快速发现问题以便于深入分析,同时有些工具也可用于个人电脑,让自己的电脑免受病毒及流氓软件的侵扰。
优点:一款非常好用的网站访问日志分析工具,可以有效识别Web漏洞攻击、CC攻击、恶意爬虫扫描、异常访问等行为。一键自动化分析,输出安全分析报告,支持iis/apache/nginx日志,支持自定义格式。
缺点:支持的日志类型较少,智能用于小网站日志分析,对于数据量很大的网站不适合目前官方已经停止维护。
使用教程链接:https://mp.weixin.qq.com/s?__biz=MzUzNDczNjQ2OQ==&mid=2247483787&idx=1&sn=3dc7f49cbf3ce7742f617196714e0539&chksm=fa917ab1cde6f3a7e3882b29534b3afc2801331d2af615091e7ae72ce6e9ee3c70e8f9ce4cfc#rd
原名是顽固木马专杀大全,是强力查杀木马病毒的系统修复工具,对各类顽固的木马具有极佳的查杀。
下载地址:http://www.360.cn/jijiuxiang/guide.html
启动项目管理工具,AutoRuns的作用就是检查开机自动加载的所有程序,例如硬件驱动程序,windows核心启动程序和应用程序。它比windows自带的[msconfig.exe]还要强大,通过它还可以看到一些在msconfig里面无法查看到的病毒和木马以及恶意插件程序,还能够详细的把启动项目加载的所有程序列出来。
下载地址:https://github.com/p0w3rsh3ll/AutoRuns
亚信安全开发病毒专杀工具
下载地址:http://support.asiainfo-sec.com/Anti-Virus/Tool/AvbTool_1904021123.zip
解压缩口令:novirus
一句话免疫,主动后门拦截,SESSION保护,防WEB嗅探,防CC,防篡改,注入防御,防XSS,防提权,上传防御,未知0day防御,异 形脚本防御等等。防止黑客入侵和提权,让服务器更安全。
下载地址:https://www.d99net.net/
基于iMonitorSDK的开源终端行为监控分析软件。提供了对进程、文件、注册表、网络等系统行为的监控。支持扩展和脚本,可以轻易定制和添加更多功能。可以用于病毒分析、软件逆向、入侵检测,EDR等。
下载地址:https://www.oschina.net/p/imonitor-bingjing
内核工具,使用了Windows未公开的API,使用了更底层获取方法,有较强的操作,让顽固软件或病毒无处可藏。
下载:http://www.kesafe.cn/
Linux应急处置/信息搜集/漏洞检测工具,支持基础配置/网络流量/任务计划/环境变量/用户信息/Services/bash/恶意文件/内核Rootkit/SSH/Webshell/挖矿文件/挖矿进程/供应链/服务器风险等13类70+项检查。
下载地址:https://github.com/al0ne/LinuxCheck
nirlauncher中文版是一款综合型的工具集合体,容量小但是功能强大,集合了常规会使用的密码恢复插件,网络监控工具、音频和视频相关的工具、桌面工具、磁盘清理工具等。
下载地址:http://launcher.nirsoft.net/
功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各类系统信息,也可以揪出电脑中的潜伏的病毒木马。
下载地址:https://www.anxinsec.com/view/antirootkit/
提供系统硬件检测及注册表、进程、内核、进程、加载项、启动项、钩子、硬件信息等管理功能,手工杀毒必备。
下载地址:http://d-h.st/users/powertool
系统进程监视软件,可以对系统中的任何文件和 注册表操作同时进行监视和记录,通过注册表和文件读写的变化, 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说非常有用。
下载地址:https://learn.microsoft.com/en-us/sysinternals/downloads/procmon
由Sysinternals开发的Windows系统和应用程序监视工具,已并入微软旗下。不仅结合了Filemon(文件监视器)和Regmon(注册表监视器)两个工具的功能,还增加了多项重要的增强功能。
下载地址:https://learn.microsoft.com/en-ca/sysinternals/downloads/process-explorer
流氓软件杀手,专杀流氓软件的有效卸载工具。
下载地址:https://roguekiller.en.softonic.com/
微软发布的一套非常强大的免费工具程序集,Sysinternals Suite一共包括将近70个windows工具,包含大量实用优秀的绿色软件,用于系统故障排除。
下载地址:https://learn.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite
免费的64位Windows系统内核辅助工具,主要支持系统动作分析、系统内核、应用层钩子、内核钩子扫描、文件管理、进程管理、启动项管理、注册表管理、服务管理、驱动模块、网络管理、系统杂项修复等。可用于分析系统底层信息,解决系统问题。
下载地址:https://github.com/ClownQq/YDArk/blob/master/YDArk.exe
基于文件、文件夹名称快速搜索软件,体积小巧,界面简洁易用,快速建立索引,快速搜索,同时占用极低的系统资源,实时跟踪文件变化,并且还可以通过http或ftp形式分享搜索。
下载地址:https://www.voidtools.com/downloads/
光速搜索,盛大开发的高效率快速搜索本机磁盘内的文件的工具,远远的将windows系统自带的搜索甩在脑后。
下载地址:暂无官方下载地址,自行百度
闪电搜索,可以对90种搜索方式,可以通过20个知名搜索引擎搜索信息。并且可以把搜索结果通过网页形式保存起来。并且可以将快捷方式发送到桌面,开始菜单。软件内提供导出收藏夹功能,可将所有的快捷方式合并成一张网页,最新增加了简洁界面,可以依附在屏幕边上,更加方便。
下载地址:http://www.sdgho.com/sdsoft/708.html
河马在线查杀,是河马查杀客户端的在线版本,最新的检测能力均会首先集成到在线版上;河马查杀自主开发的webshell检测引擎拥有完整的知识产权,采用静态分析、动态分析、特征匹配、机器学习多种技术检测webshell。
下载地址:https://n.shellpub.com/
拥有自主产权的火绒反病毒引擎,多层次主动防御系统,基于独特的“虚拟沙盒”技术,可以深度解析各类恶意代码的本质特征,有效地解决加密和混淆等代码级恶意对抗。
下载地址:https://www.huorong.cn/
从火绒安全软件间分离出来的一个很实用的功能,软件能够轻松的帮助用户分析电脑的安全情况而且火绒剑还可以对全面了解系统中所运行的程序是否存在恶意行为,给用户一个更好的使用环境。
下载地址:暂无官方下载地址,自行百度
收集操作系统各项痕迹,支持Windows和Linux痕迹收集。作用是为分析研判安全事件提供操作系统数据,让任何有上机排查经验和无上机排查经验的人都可以进行上机排查安全事件。
下载地址:https://github.com/MountCloud/FireKylin/releases
一款简单高效的卸载工具。界面简洁,体积小,占内存少,无任何插件,是一款非常实用的卸载工具。
下载地址:http://hibitsoft.ir/Uninstaller.html
飘云安全团队开发的个人ARK工具,提供简单快捷的进程管理、驱动模块、内核钩子扫描、文件管理等功能。
下载地址:http://www.pysafe.cn/