【应急响应】梳理三年来应急响应常用的25款工具,附下载地址
2023-5-19 12:56:2 Author: WIN哥学安全(查看原文) 阅读量:41 收藏

01 360系统急救箱

PC端360系统急救箱支持查杀电脑恶性病毒,包含驱动型及MBR型,同时支持扫描清除安卓手机顽固木马。

02 360星图

一款非常好用的网站访问日志分析工具,可以有效识别Web漏洞攻击、CC攻击、恶意爬虫扫描、异常访问等行为。一键自动化分析,输出安全分析报告,支持iis/apache/nginx日志,支持自定义格式。但是,支持的日志类型较少,智能用于小网站日志分析,对于数据量很大的网站不适合。

03 Autoruns

Autoruns是一款由微软旗下Sysinternals公司出品的专业系统启动项管理工具,这款工具小巧免费,单执行文件,利用它可以查看管理包含系统和任何软件的自动启动项位置的所有信息。它即能显示 Windows 启动或登录时自动运行的程序,又允许用户自定义禁用或删除它们,例如,那些在“启动”文件夹和注册表相关键值中的程序。此外它还可以管理包括:资源管理器右键扩展(如右键菜单项目)、IE浏览器插件(如工具栏扩展)、系统服务和驱动、计划任务、镜像劫持等自启动程序类目的所有详细,进行验证分析操作。

04 AvbTool专杀⼯具

亚信安全Avbtool专杀工具

05 D盾

『D盾_防火墙』专为IIS设计的一个主动防御的保护软件,以内外保护的方式 防止网站和服务器给入侵,在正常运行各类网站的情 况下,越少的功能,服务器越安全的理念而设计!限制了常见的入侵方法,让服务器更安全!

06 HTTP Logs Viewer

HTTP Logs Viewer是一款强大的日志分析工具,可以轻松过滤和分析Apache/IIS/nginx日志文件。内置搜索和过滤功能,还支持自定义日志格式。

07 iDefender(冰盾 · 主动防御系统)

冰盾 · 主动防御系统 【专业不流氓】是一款基于iMonitorSDK实现,为专业人士打造的终端、主机主动防御系统。使用冰盾可以帮助您拦截漏洞攻击、抵制流氓软件、保护电脑安全、提高工作效率。

08 iMonitor(冰镜 - 终端行为分析系统)

iMonitor(冰镜 - 终端行为分析系统)【安全分析人员的必备工具】是一款基于iMonitorSDK的终端行为监控分析软件。

提供了对进程、文件、注册表、网络等系统行为的监控。支持扩展和脚本,可以轻易定制和添加更多功能。可以用于病毒分析、软件逆向、入侵检测,EDR等。

09 ke64

内核工具,使用了Windows未公开的API,使用了更底层获取方法,有较强的操作,让顽固软件或病毒无处可藏。

10 killwarmup 专杀脚本

warmup挖矿病毒说明:

1、截止目前数据了解warmup,只通过Linux感染,获取主机做挖矿,没有发现window感染,

2、通过获取Linux主机,暴力破解其他Linux或者window账号密码,达到获取主机权限目的,也就是目前反馈有终端或者服务器账号密码被获,基本因为暴力破解获得的。

ps -ef | grep /root/.warmup/warmup | grep -v grep | awk '{print $2}'| xargs kill -9rm -rf /root/.warmup/touch /root/.warmup; chattr +ia /root/.warmuprm -rf /etc/alternatives/.warmup/touch /etc/alternatives/.warmup; chattr +ia /etc/alternatives/.warmuprm -f /etc/cron.hourly/somescript /etc/cron.hourly/.somescripttouch /etc/cron.hourly/somescript /etc/cron.hourly/.somescript; chattr +ia /etc/cron.hourly/somescript /etc/cron.hourly/.somescriptrm -f /etc/xtab/somescript /etc/xtab/.somescripttouch /etc/xtab/somescript /etc/xtab/.somescript; chattr +ia /etc/xtab/somescript /etc/xtab/.somescript;sed -i '/root \/sangfor\/edr\/agent\/bin\/eps_uninstall\.sh/d' /etc/crontab013

11 LinuxCheck

Linux应急处置/信息搜集/漏洞检测工具,支持基础配置/网络流量/任务计划/环境变量/用户信息/Services/bash/恶意文件/内核Rootkit/SSH/Webshell/挖矿文件/挖矿进程/供应链/服务器风险等13类70+项检查

功能

  • 基础配置检查

    • 系统配置改动检查

    • 系统信息(IP地址/用户/开机时间/系统版本/Hostname/服务器SN)

    • CPU使用率

    • 登录用户信息

    • CPU TOP 15

    • 内存 TOP 15

    • 磁盘剩余空间检查

    • 硬盘挂载

    • 常用软件检查

    • /etc/hots

  • 网络/流量检查

    • ifconfig

    • 网络流量

    • 端口监听

    • 对外开放端口

    • 网络连接

    • TCP连接状态

    • 路由表

    • 路由转发

    • DNS Server

    • ARP

    • 网卡混杂模式检查

    • iptables 防火墙

  • 任务计划检查

    • 当前用户任务计划

    • /etc/系统任务计划

    • 任务计划文件创建时间

    • crontab 后门排查

  • 环境变量检查

    • env

    • path

    • LD_PRELOAD

    • LD_ELF_PRELOAD

    • LD_AOUT_PRELOAD

    • PROMPT_COMMAND

    • LD_LIBRARY_PATH

    • ld.so.preload

  • 用户信息检查

    • 可登陆用户

    • passwd文件修改日期

    • sudoers

    • 登录信息(w/last/lastlog)

    • 历史登陆ip

  • Services 检查

    • SystemD运行服务

    • SystemD服务创建时间

  • bash检查

    • History

    • History命令审计

    • /etc/profile

    • $HOME/.profile

    • /etc/rc.local

    • ~/.bash_profile

    • ~/.bashrc

    • bash反弹shell

  • 文件检查

    • ...隐藏文件

    • 系统文件修改时间检测

    • 临时文件检查(/tmp /var/tmp /dev/shm)

    • alias

    • suid特殊权限检查

    • 进程存在文件未找到

    • 近七天文件改动 mtime

    • 近七天文件改动 ctime

    • 大文件>200mb

    • 敏感文件审计(nmap/sqlmap/ew/frp/nps等黑客常用工具)

    • 可疑黑客文件(黑客上传的wget/curl等程序,或者将恶意程序改成正常软件例如nps文件改为mysql)

  • 内核Rootkit 检查

    • lsmod 可疑模块

    • 内核符号表检查

    • rootkit hunter 检查

    • rootkit .ko模块检查

  • SSH检查

    • SSH 爆破

    • SSHD 检测

    • SSH 后门配置

    • SSH inetd后门检查

    • SSH key

  • Webshell 检查

    • php webshell检查

    • jsp webshell检查

  • 挖矿文件/进程检查

    • 挖矿文件检查

    • 挖矿进程检查

    • WorkMiner检测

    • Ntpclient检测

  • 供应链投毒检查

    • Python PIP 投毒检查

  • 服务器风险检查

    • Redis弱密码检测

12 NirLauncher

nirlauncher中文版是一款综合型的工具集合体,容量小但是功能强大,集合了常规会使用的密码恢复插件,网络监控工具、音频和视频相关的工具、桌面工具、磁盘清理工具等。

13 PC Hunter

PCHunter是一款知名的Windows系统底层反内核工具,系统信息检测工具、手工杀毒工具、系统安全辅助工具。这款ARK工具有内核级驱动检测、内核对象劫持、Hook 、MBR Rootkit、文件管理、进程管理、启动项管理、注册表管理、服务管理、驱动模块、网络管理、系统内核查看、应用层钩子、系统修复等功能。

PC Hunter 目前实现了如下功能:
1、进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能
2、内核驱动模块查看,删除驱动、卸载驱动、支持内核驱动模块的内存拷贝
3、SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook
4、CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等近20多种Notify Routine信息查看,并支持对这些Notify Routine的删除
5、端口信息查看,目前不支持2000系统
6、查看消息钩子
7、内核模块的iat、eat、inline hook、patches检测和恢复
8、磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
9、注册表编辑
10、进程iat、eat、inline hook、patches检测和恢复
11、文件系统查看,支持基本的文件操作
12、查看(编辑)IE插件、SPI、启动项、服务、Hosts文件、映像劫持、文件关联、系统防火墙规则、IME
13、ObjectType Hook检测和恢复
14、DPC定时器检测和删除
15、MBR Rootkit检测和修复
16、内核对象劫持检测
17、WorkerThread枚举
18、Ndis中一些回调信息枚举
19、硬件调试寄存器、调试相关API检测
20、枚举SFilter/Flgmgr的回调
21、系统用户名检测

支持的系统版本:
Windows XP (32-bit)
Windows Vista (32-bit)
Windows 2000 SP4 (32-bit)
Windows Server 2003 (32-bit)
Windows Server 2008 (32-bit)
Windows 7/8/8.1 (32-bit/64-bit)
Windows 10 1909或早期版 (32/64)

14 PowerTool

PowerTool是一款免费的系统分析,手动杀毒工具。这款内核级的手动杀毒辅助工具,能帮助你找出病毒木马在你的电脑中动过的手脚,并去除病毒设下的机关。目前具备以下功能:系统修复、进程管理、内核模块、内核相关、钩子、应用层、文件、注册表、离线分析、启动项、系统服务、网络链接、漏洞修复等。

15 Process Monitor

Process Monitor汉化版是一款微软旗下Sysinternals公司出品的系统进程监视软件的进程监视器,ProcessMonitor最新版可以查看实时系统进程事件,注册表和进程/线程活动.它结合了两个旧版Sysinternals实用工具(Filemon和Regmon)的功能,并添加了广泛使用的增强功能列表,包括丰富的非破坏性筛选功能,全面的进程事件属性(如会话ID和用户名,详细的进程信息,具有针对每个操作集成符号支持的完整线程堆栈支持,同时记录到文件等).它独特的强大功能会使进程监视器成为系统故障排除和恶意软件搜寻工具包中的核心实用工具.

16 ProcessExplorer

由Sysinternals开发的Windows系统和应用程序监视工具,已并入微软旗下。不仅结合了Filemon(文件监视器)和Regmon(注册表监视器)两个工具的功能,还增加了多项重要的增强功能。

17 Screaming Frog Log File Analyser

一款支持跨平台使用日志文件分析软件。日志分析工具哪款好用呢?那么不妨来看看这款Screaming Frog Log File Analyser 。该款工具允许用户将原始访问日志文件拖放到软件界面中进行分析,能够智能识别大型和慢速网址,找出未抓取和孤立的网址。

18 Sysinternals Suite

微软发布的一套非常强大的免费工具程序集,Sysinternals Suite一共包括将近70个windows工具,包含大量实用优秀的绿色软件,用于系统故障排除。

19 Team · IDE

Team IDE 集成MySql、Oracle、金仓、达梦、神通等数据库、SSH、FTP、Redis、Zookeeper、Kafka、Elasticsearch、小工具等管理工具

20 YDArk

免费的64位Windows系统内核辅助工具,主要支持系统动作分析、系统内核、应用层钩子、内核钩子扫描、文件管理、进程管理、启动项管理、注册表管理、服务管理、驱动模块、网络管理、系统杂项修复等。可用于分析系统底层信息,解决系统问题。

21 河马

河马在线查杀,是河马查杀客户端的在线版本,最新的检测能力均会首先集成到在线版上;河马查杀自主开发的webshell检测引擎拥有完整的知识产权,采用静态分析、动态分析、特征匹配、机器学习多种技术检测webshell。

22 火麒麟 FireKylin

收集操作系统各项痕迹,支持Windows和Linux痕迹收集。作用是为分析研判安全事件提供操作系统数据,让任何有上机排查经验和无上机排查经验的人都可以进行上机排查安全事件。

23 火绒安全软件5.0

拥有自主产权的火绒反病毒引擎,多层次主动防御系统,基于独特的“虚拟沙盒”技术,可以深度解析各类恶意代码的本质特征,有效地解决加密和混淆等代码级恶意对抗。

24 火绒剑

从火绒安全软件间分离出来的一个很实用的功能,软件能够轻松的帮助用户分析电脑的安全情况而且火绒剑还可以对全面了解系统中所运行的程序是否存在恶意行为,给用户一个更好的使用环境。

25 文件搜索 EveryThing

Everything中文版是一款小巧免费的文件搜索工具的文件搜索利器,Everything最新版搜索文件速度之快令人震惊,百G硬盘几十万个文件,可在几秒钟之内完成NTFS索引;文件名称搜索瞬间呈现结果,关键词高亮.索引数据库,实时重建变化,分享文件索引,支持文件名称通配符,正则表达式刷选,可通过HTTP或FTP服务器搜索结果.

光速搜索,盛大开发的高效率快速搜索本机磁盘内的文件的工具,远远的将windows系统自带的搜索甩在脑后。

闪电搜索,可以对90种搜索方式,可以通过20个知名搜索引擎搜索信息。并且可以把搜索结果通过网页形式保存起来。并且可以将快捷方式发送到桌面,开始菜单。软件内提供导出收藏夹功能,可将所有的快捷方式合并成一张网页,最新增加了简洁界面,可以依附在屏幕边上,更加方便。

Taps:

下载链接:后台回复“应急响应”获取所有应急响应工具合集。

扫码回复“进群”加入交流群

往期精彩

工具获取回复“burp”“awvs”“nessus”“ladon”"Forfity"等可以。

快速攻击全自动化工具JuD

Exp-Tools 1.1.3版本发布

GUI-tools渗透测试工具箱框架

阿波罗自动化攻击评估系统

 微软 Word RCE附PoC

Clash最新远程代码执行漏洞(附POC)

禅道系统权限绕过与命令执行漏洞(附POC)

【附EXP】CVE-2022-40684 & CVE-2022-22954

网络安全应急预案合集

师傅们求点赞,求支持

文章来源: http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247492778&idx=2&sn=8cad5bfeda05db6dcbf05a96ad309920&chksm=c0c8455ef7bfcc4881f63accc79ed95fb4409071d1b783a4f7602306a6f365f157a0cf96bb09#rd
如有侵权请联系:admin#unsafe.sh