鍔ㄦ€�-鍝斿摡鍝斿摡【戳蓝字免费领取最新网络安全技术视频教程 笔记资料学习】
1. Sysinternals SuiteSysinternals Suite是微软发布的一套非常强大的免费工具程序集。
下载链接:https://docs.microsoft.com/zh-cn/Sysinternals/downloads/sysinternals-suite
其中包含:(只列举部分)
AccessChk
为了确保创建安全的环境,Windows 管理员通常需要了解特定用户或用户组对文件、目录、注册表项和 Windows 服务等资源具有哪种访问权限。AccessChk 能够通过直观的界面和输出快速回答这些问题。
AccessEnum
这一简单但强大的安全工具可以向您显示,谁可以用何种访问权限访问您系统中的目录、文件和注册表项。使用此工具可查找权限漏洞。
Ctrl2cap
这是一个内核模式的驱动程序,可在键盘类驱动程序上演示键盘输入过滤,以便将 Caps-Lock 转变为控制键。在此级别过滤允许在 NT 刚好要“看到”键之前变换和隐藏键。Ctrl2cap 还显示如何使用 NtDisplayString() 打印初始化蓝屏的消息。
DebugVIEw
Sysinternals 的另一个优先程序:此程序截取设备驱动程序对 DbgPrint 的调用和 Win32 程序生成的 OutputDebugString。它允许在不使用活动的调试器的情况下,在本地计算机上或通过 Internet 查看和记录调试会话输出。
Desktops
使用这一新的实用工具可以创建最多四个虚拟桌面,使用任务栏界面或热键预览每个桌面上的内容并在这些桌面之间轻松地进行切换。
NTFSInfo
用 NTFSInfo 可以查看有关 NTFS 卷的详细信息,包括主文件表 (MFT) 和 MFT 区的大小和位置,以及 NTFS 元数据文件的大小。
PortMon
通过高级监视工具监视串行端口和并行端口的活动。它能识别所有的标准串行和并行 IOCTL,甚至可以显示部分正在发送和接收的数据。3.x 版具有强大的新 UI 增强功能和高级筛选功能。
ProcDump
这一新的命令行实用工具旨在捕获其他方式难以隔离和重现 CPU 峰值的进程转储。该工具还可用作用于创建进程转储的一般实用工具,并可以在进程具有挂起的窗口或未处理的异常时监视和生成进程转储。
Process Explorer
找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。
2. PCHunterPCHunter是一款系统增强工具,可以对系统内核等实现修改以及系统其他功能微调,相当专业的功能。
下载链接:http://www.xuetr.com/
本工具目前初步实现如下功能:
- 进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能
- 内核驱动模块查看,支持内核驱动模块的内存拷贝
- SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook
- CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除
- 端口信息查看,目前不支持2000系统
- 查看消息钩子
- 内核模块的iat、eat、inline hook、patches检测和恢复
- 磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
- 注册表编辑
- 进程iat、eat、inline hook、patches检测和恢复
- 文件系统查看,支持基本的文件操作
- 查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME
- ObjectType Hook检测和恢复
- DPC定时器检测和删除
- MBR Rootkit检测和修复
- 内核对象劫持检测
- WorkerThread枚举
- Ndis中一些回调信息枚举
- 硬件调试寄存器、调试相关API检测
- 枚举SFilter/Fltmgr的回调
- 系统用户名检测
3. 火绒剑
火绒剑-互联网安全分析软件(HRSword),它是火绒安全软件里的高级工具,适用Windows系统的安全分析辅助工具,具有系统动作监控、文件管理、进程管理、启动项管理、注册表管理、服务管理、驱动模块、网络管理、系统内核查看、钩子扫描等功能。用它可以查看各类系统信息,通过监控分析系统各种行为。
下载链接:https://www.huorong.cn/
4. Process Monitor
Process Monitor 是一种用于 Windows 的高级监控工具,它显示 实时文件系统、注册表和进程/线程活动。 它结合了 两个遗留 Sysinternals 实用程序的功能, Filemon 和 Regmon ,并添加了广泛的增强功能列表,包括丰富和 无损过滤,会话等综合事件属性 ID 和用户名、可靠的进程信息、完整的线程堆栈 为每个操作提供集成符号支持,同时记录 到一个文件,等等。 其独特的强大功能将使 Process Monitor 是系统故障排除中的核心实用程序 恶意软件搜寻工具包。
下载链接:https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
Process Monitor 包括强大的监控和过滤功能, 包含:
- 为操作输入和输出参数捕获更多数据
- 无损过滤器允许您设置过滤器而不会丢失数据
- 为每个操作捕获线程堆栈使得它在许多 确定操作根本原因的案例
- 可靠捕获进程详细信息,包括图像路径、命令 线路、用户和会话 ID
- 任何事件属性的可配置和可移动列
- 可以为任何数据字段设置过滤器,包括未设置的字段 配置为列
- 高级日志架构可扩展到数千万捕获 事件和千兆字节的日志数据
- 进程树工具显示所有进程的关系 一个痕迹
- 本机日志格式保留所有数据,以便以不同的方式加载 进程监视器实例
- 用于轻松查看过程映像信息的过程工具提示
- 详细工具提示允许方便地访问格式化数据, 不适合列
- 可取消的搜索
- 所有操作的启动时间记录
5. PowerTool
PowerTool 一款免费强大的进程管理器,支持进程强制结束,可以Unlock占用文件的进程,查看文件/文件夹被占用的情况,内核模块和驱动的查看和管理,进程模块的内存的dump等功能。
下载链接:https://download.csdn.net/download/weixin_44895005/85044709
主要功能:
所有进程的枚举(包括内核中隐藏的进程)
所有文件的枚举(包括内核中隐藏的文件)
进程中所有模块的枚举(包括内核中隐藏的模块)
进程的强制结束
进程中模块的强制卸载
模块被哪些进程加载的检索
查看文件/文件夹被占用的情况
可以Unlock占用文件的进程
文件/文件夹的粉碎(可强删Unlocker1.8.9/金山/超级巡警文件粉碎机无法删除的顽固文件)
阻止文件粉碎后用还原软件还原(采用美国国防部DOD 5220.22-m标准阻止文件还原)
用磁盘解析技术检索硬盘数据
内核模块和驱动的查看和管理
启动项的查看和管理
14.系统服务的查看和管理
集成文件粉碎功能到系统右键菜单
16.消息钩子的查看和卸载
SSDT/Shadow SSDT钩子的查看和卸载
各种内核回调的查看和卸载
多国语言版本的对应(中文和英文)
暂停进程运行和恢复进程运行
进程模块的内存的dump
进程的线程的查看和结束
进程的窗口的查看和控制
进程的定时器的查看和摘除(该功能还没对应Windows2003)
25.内核定时器的查看和摘除
上传文件在线扫描病毒
查看和摘除用户层的钩子
查看和结束内核线程
关机回调的清除
查看和摘除mini文件驱动
系统恢复功能(检测项目包括注册表关键部位,已安装的杀毒软件,AutoRun文件,Windows漏洞检测,共享文件夹)
流氓快捷方式的检测和删除
33.镜像劫持的检测和删除
文件关联的检测和删除
IE相关的检测和删除
FSD Hook的检测和删除
Object Hook的检测和删除
部分CPU/硬盘/显卡/主板的温度检测
部分硬件信息的确认
修复漏洞功能,可以下载和安装Windows补丁
IDT钩子的检测和恢复
禁止进程创建,新建文件,注册表修改等配置
注册表功能,几乎可以无视一切隐藏注册表的钩子
SPI的检测
通过磁盘解析进行文件浏览
文件强制拷贝功能,可拷贝网络视频的缓存文件
通过磁盘解析取得和拷贝ADS流文件
添加和查看文件重启删除信息
Disk/Atapi驱动钩子的检测和恢复
进程权限的枚举和摘除
检测键盘侦听软件
检测被监视的文件
IO定时器的检测和停止
工作列线程的检测和暂停
FAT32格式的磁盘解析
新增MBR的检测和修复(可对抗鬼影等Bootkit和MBR rootkit)
新增检测被替换的或被感染的内核文件(内核文件劫持)
支持多硬盘的MBR检测和恢复
新增可疑设备的检测和清除
支持离线的启动项和服务的检测和删除
注册表和服务的强删功能
启动项和服务里新增PT注册表和文件浏览器的跳转
简易的防止关机和重启功能(不一定可以阻止病毒的强制重启)
IME输入法的管理
内存条(目前只支持DDR2/DDR3)的检测(频率,大小,厂商,生产日期等)
显示器的检测(尺寸,厂商,生产日期等)
67.电池信息的检测
拷贝驱动模块内存和卸载驱动的功能
AMD CPU(K8/K10)温度的检测
可动态显示中/英文名硬件制造厂商
识别奸商
网络连接查看
内核IAT/EAT钩子检测
对文件/文件夹重命名(包括被其他进程占用的文件)
75.隐藏账户或/隆账户的管理查看功能
对鬼影3的MBR的检测和自动恢复功能
进程的回调表钩子检测
增加了硬盘读写过程的检测
查看调试寄存器钩子
查看内核入口点的钩子
检测并可恢复系统驱动感染
检测BMW/Mebromi等Award的BIOS rootkit,并显示一些BIOS信息
检测VBR bootkit,并可上传到VirusTotal检测
检测rootkit的内存欺骗/内核调试器
6. Event Log Explorer
Event Log Explorer 是一款免费软件,用于查看、监控和分析 Microsoft Windows NT/2000/XP/2003 操作系统的安全、系统、应用程序和其他日志中记录的事件。
下载链接:https://www.eventlogxp.com/
Event Log Explorer主要特点:
多文档用户界面 (MDI) 一次查看多个事件日志
收藏夹计算机及其日志被分组到树中
查看事件日志和事件日志文件
归档事件日志
事件描述在日志窗口中
事件列表可按任意列、任意方向排序
按任何标准(包括事件描述文本)进行高级过滤
快速过滤功能允许您在几次鼠标点击中过滤事件日志
按任何标准快速搜索
将事件日志发送到打印机
将日志导出为不同格式
7. FullEventLogView
FullEventLogView是一个Windows事件日志查看工具,能够显示并查看所有的Windows事件日志的详细信息,包括事件描述,支持查看本地计算机的事件、也可以查看远程计算机的事件,并可以将事件导出为text、CSV、tab-delimited、html、xml等类型的文件。
下载链接:https://download.csdn.net/download/weixin_44895005/85044736
8. Log Parser
Log Parser是一个强大的通用工具,它提供对基于文本的数据(如日志文件、XML 文件和 CSV 文件)以及 Windows® 操作系统上的关键数据源(如事件日志、注册表、文件系统和 Active Directory®。
下载链接:https://www.microsoft.com/en-us/download/details.aspx?id=24659
9. WinPrefetchView
WinPrefetchView 是一个小型进程管理实用程序,用于读取存储在系统中的预取文件并显示存储在其中的信息。
每次在系统中运行应用程序时,Windows 操作系统都会创建一个 Prefetch 文件,其中包含有关应用程序加载的文件的信息。 通过查看这些文件,您可以了解应用程序使用了哪些文件以及在 Windows 启动时加载了哪些文件。 预取文件中的信息用于在您下次运行应用程序时优化应用程序的加载时间。
下载链接:https://www.majorgeeks.com/files/details/winprefetchview.html
10. WifiHistoryView
WifiHistoryView 是适用于 Windows 10/8/7/Vista 的简单工具,可显示计算机上无线网络的连接历史记录。 对于计算机连接或断开无线网络的每个事件,都会显示以下信息:事件发生的日期/时间、网络名称 (SSID)、配置文件名称、网络适配器名称、 路由器/接入点的 BSSID,以及更多…
WifiHistoryView 可以从正在运行的系统或另一台计算机的外部事件日志文件中读取 wifi 历史信息。
只要您以管理员身份连接远程计算机,您还可以查看网络上远程计算机的 wifi 历史记录。
下载链接:https://www.nirsoft.net/utils/wifi_history_view.html
,