“工欲善其事,必先利其器。”
近日,深信服安全团队整理了一些常见的PE工具、调试反汇编工具、应急工具、流量分析工具和WebShell查杀工具,希望可以帮助到一些安全行业的初学者。
PE工具篇
PEiD
一款著名的PE侦壳工具,可以检测PE常见的一些壳,但是目前已经无法从官网获得:
EXEInfo PE
PE侦壳工具,PEiD的加强版,可以查看EXE/DLL文件编译器信息、是否加壳、入口点地址、输出表/输入表等等PE信息:
Detect It Easy
开源的PE侦壳工具,是一个跨平台的应用程序,有Windows、Linux、Mac OS多个可用版本:
CFF Explorer
一款优秀的PE32 & PE64编辑工具,可以方便的查看及编辑PE文件。完全支持.NET文件格式:
StudyPE
PE32 & PE64 查看分析集成工具,具有强大的PE结构处理分析功能,在查壳方面功能略显薄弱:
调试/反编译工具篇
OllyDbg
Ring3级调试器,支持插件扩展功能,唯一不足的是OD是一个32位调试器,不支持调试64位程序。官方给出的原版程序是无插件的,有需要的童鞋可以在吾爱破解论坛自行搜索:
WinDbg
支持Windows平台,用户态和内核态的调试器,有图形界面和命令行两种调试方式。其强大的内核调试功能收获了众多的追捧者:
x32dbg/x64dbg
一款开源的调试器,从界面和操作使用和OD相似,支持32位和64位应用程序的调试。解决了OD对64位应用程序调试上的缺陷:
dnSpy
一款针对.NET程序的开源逆向程序的工具。包含了反汇编器,调试器和汇编编辑器等功能组件,支持插件功能:
IDA Pro
全称:Interactive Disassembler Professional,交互式反汇编器专业版,目前最棒的静态反编译工具,是众多安全人士的首选:
VB Decompiler
针对Visual Basic 5.0/6.0开发的程序的反编译器:
应急工具篇
日志相关
Sysmon
Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上,并保持常驻性。用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息:
LastActivityView
是一款电脑操作记录查看器,直接调用系统日志,显示安装软件、系统启动、关机、网络连接、执行exe 的发生时间和路径:
注册表相关
Regshot
注册表比较工具,通过抓取两次注册表快速比较得出两次注册表的不同之处:
Autoruns
基于Windows平台的自动运行程序的管理工具。可以控制登录时的加载程序、驱动程序加载、服务启动、任务计划等 Windows 中各种方面的启动项:
进程相关
Process Hacker
一款功能丰富的开源系统进程辅助工具,可以方便的查看进程的运行情况、内存以及模块信息,还可以对进程进行管理:
PowerTool
一款免费的进程管理器,可以Unlock占用文件的进程,查看文件或文件夹被占用的情况,内核模块和驱动的查看管理,进程模块的内存dump等工具:
Process Lasso
一款独特的调试进程级别的系统优化工具,主要功能是基于其特别的算法动态调整各个进程优先级以实现为系统减负的目的。可以用来监视进程动作:
文件相关
HashTab
文件校验工具,分为免费个人版以及付费版。下载安装后可以通过查看文件属性中的HashTab快速得到文件的哈希值,支持多种哈希算法:
Hash Checker
一款开源的文件校验工具,安装完成后可以通过文件属性中的文件校验快速得到文件的哈希值。支持右键菜单创建校验文件功能和批量校验功能:
Unlocker
一款右键扩充工具,通过删除文件和程序关联的方式解除文件的占用。在解除占用时不会强制关闭占用文件进程:
Everything
强大的Windows桌面搜索引擎,可以在NTFS卷上快速的根据名称查找文件和目录:
Winhex
是一款优秀的十六进制编辑器,在计算机取证,数据恢复,低级数据处理和IT安全领域非常有用:
BinDiff
一款开源的二进制文件对比工具,可帮助安全人员快速发现反汇编代码中的差异和相似之处。支持x86、MIPS、ARM/AArch64、PowerPC等架构进行二进制文件的对比:
Beyond Compare
一款由Scooter Software推出的文件比较工具。主要用于比较两个文件夹或者文件并将差异以颜色标记,比较的范围包括目录,文档内容等:
内存相关
SfAntiBotPro
内存检索工具,可以根据输入的字符串快速检索计算机内存,输出包含该字符串的进程信息,在进行恶意域名检测时有事半功倍的效果:
下载地址:
DumpIt
是一款免安装的Windows内存镜像取证工具,可以使用其轻松的将一个系统的完整内存镜像下来,并用于后续的调查取证工作:
设备监控
USBLogView
一款USB设备监控软件,后台运行,可以记录插入或拔出系统的任何USB的详情信息:
集成工具
PC Hunter
一款驱动级的系统维护工具,能够查看各种Windows的各类底层系统信息,包括进程、驱动模块、内核、内核钩子、应用层钩子,网络、注册表、文件、启动项、系统杂项、电脑体检等:
Malware Defender
一款 HIPS (主机入侵防御系统)软件,用户可以自己编写规则来防范病毒、木马的侵害。另外,Malware Defender提供了很多有效的工具来检测和删除已经安装在您的计算机系统中的恶意软件:
火绒剑
一款用于分析、处理恶意程序的安全工具软件,提供了“程序行为监控”、“进程管理”、“文件管理”、“注册表管理”、“系统启动项管理”、”内核程序管理“、“代码钩子扫描”七大功能:
下载地址:
(火绒剑独立版,不支持win8.1以上的系统)down4.huorong.cn/hrsword.exe
流量分析工具篇
WireShark
一款网络封包分析工具,可以帮助用户深入分析网络协议,涵盖上百种协议以及各类主要平台。通过GUI或TTY-mode浏览数据:
下载地址:wireshark.org/download.html
Fiddler
C#编写的http抓包改包工具,相较wireshark更加轻量级,在http和https数据包的抓取上更加专业。还能设置断点,修改请求和响应的数据,模拟弱网络环境。支持插件扩展:
Microsoft Network Monitor
只支持Windows平台的网络数据分析工具,提供了一个专业的网路实时流量图形界面,拥有识别和监控超过300种网络协议的能力:
Capsa Packet Sniffer
网络分析工具,用于网络监控、故障排除和网络诊断等功能:
NetworkMiner
支持Windows平台的网络取证分析工具,通过嗅探或者分析PCAP文件可以侦测到操作系统,主机名和开放的网络端口主机:
Angry IP Scanner
这是一款开源的网络扫描仪,支持Linux,Windows和Mac OS X平台,可以在最短的时间内扫描远端主机IP运作情况,包括主机名,目前开放的端口和IP的运作情况:
WebShell查杀工具篇
D盾
D盾是一个专为IIS设计的主动防御保护软件,有一句话免疫,主动后门拦截,SESSION保护,防WEB嗅探,防CC,防篡改,注入防御,防XSS,防提权,上传防御,未知0day防御,异形脚本防御等功能,以内外保护的方式防止网站和服务器被入侵。
WebShellKiller
WebShellKiller是个Web后门专杀工具,不仅支持Webshell扫描,还支持暗链扫描。该工具将传统的技术与人工智能技术相结合、静态扫描和动态分析相结合,更精准的检测出Web网站已知和未知的后门文件:
下载地址:
WEBDIR+
在线WebShell扫描器:
WebShell Detector
在线WebShell扫描器:
WEBSHELL.PUB
在线WebShell扫描器: