包括:(仅列出部分)
访问通道
为了确保安全的环境,Windows 管理员通常需要了解特定用户或用户组对文件、目录、注册表项和Windows 服务等资源拥有哪些访问权限。 AccessChk 通过直观的界面和输出快速回答这些问题。
访问枚举
这个简单但功能强大的安全工具向您显示谁对系统上的目录、文件和注册表项具有哪些访问权限。使用此工具查找权限漏洞。
Ctrl2大写
这是一个内核模式驱动程序,演示键盘类驱动程序上的键盘输入过滤,以将Caps-Lock 转换为控制键。此级别的过滤允许在NT“看到”键之前对其进行转换和隐藏。 Ctrl2cap 还展示了如何使用NtDisplayString() 打印初始化蓝屏的消息。
调试视图
Sysinternals 的另一个优先程序:该程序拦截设备驱动程序对DbgPrint 的调用以及Win32 程序生成的OutputDebugString。它允许在本地计算机上或通过Internet 查看和记录调试会话输出,而无需使用活动的调试器。
台式机
使用这个新实用程序可以创建最多四个虚拟桌面,预览每个桌面上的内容,并使用任务栏界面或热键在它们之间轻松切换。
NTFS信息
使用NTFSInfo 查看有关NTFS 卷的详细信息,包括主文件表(MFT) 和MFT 扩展的大小和位置,以及NTFS 元数据文件的大小。
蒙港
使用先进的监控工具监控串行和并行端口活动。它可以识别所有标准串行和并行IOCTL,甚至可以显示正在发送和接收的部分数据。 3.x 版具有强大的新UI 增强功能和高级过滤功能。
过程转储
这个新的命令行实用程序旨在捕获进程转储,否则很难隔离和重现CPU 峰值。该工具还用作创建进程转储的通用实用程序,并且可以在进程挂起窗口或未处理的异常时监视和生成进程转储。
流程浏览器
了解进程打开了哪些文件、注册表项和其他对象、加载了哪些DLL 等等。这个极其强大的实用程序甚至可以显示每个进程的所有者。
2. PCHunter
PCHunter是一款系统增强工具,可以修改系统内核并微调其他系统功能。这是一个非常专业的功能。
下载链接:http://www.xuetr.com/
该工具目前实现了以下功能:
查看进程、线程、进程模块、进程窗口、进程内存信息,查看内核驱动模块杀进程、杀线程、卸载模块等功能,支持内存拷贝SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、内核驱动模块等。 Atapi、Acpi、SCSI、IDT、GDT信息查看,并可以检测和恢复ssdt hook和内联hookCreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持删除这些的端口信息Notify Routine View,目前不支持2000系统查看消息钩子内核模块的iat、eat、inline hook、补丁检测和恢复磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除注册表编辑进程iat 、吃、内联钩子、补丁检测和恢复文件系统查看、支持基本文件操作查看(编辑)IE插件、SPI、启动项、服务、Host文件、图像劫持、文件关联、系统防火墙规则、IMEObjectType Hook检测DPC定时器检测与删除MBR Rootkit检测与修复内核对象劫持检测WorkerThread枚举Ndis中的一些回调信息枚举硬件调试寄存器、调试相关API检测枚举SFilter/Fltmgr回调系统用户名检测
3. 火绒剑
Tinder Sword - 互联网安全分析软件(HRSword),它是Tinder安全软件中的高级工具。它是Windows系统的安全分析辅助工具。它具有系统动作监控、文件管理、进程管理、启动项管理、注册表管理、服务管理、驱动模块、网络管理等。系统内核查看、hook扫描等功能。您可以使用它来查看各种系统信息,并通过监控来分析各种系统行为。
下载链接:https://www.huorong.cn/
4. Process Monitor
Process Monitor 是一种适用于Windows 的高级监视工具,可显示实时文件系统、注册表和进程/线程活动。它结合了两个传统Sysinternals 实用程序Filemon 和Regmon 的功能,并添加了广泛的增强功能,包括丰富且无损的过滤、全面的事件属性(例如会话ID 和用户名)、可靠的进程信息以及完整的线程堆栈提供集成符号支持每个操作、同时记录到文件等等。其独特而强大的功能将使进程监视器成为系统故障排除恶意软件狩猎工具包的核心实用程序。
下载链接:https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
Process Monitor 具有强大的监控和过滤功能,包括:
捕获更多操作输入和输出参数的数据无损过滤器允许您在不丢失数据的情况下设置过滤器捕获每个操作的线程堆栈使得在许多情况下可以可靠地确定操作的根本原因捕获流程详细信息,包括图像路径、可配置和可移动列用于命令行、用户和会话ID 用于任何事件属性可以为任何数据字段设置过滤器,包括未设置的字段配置为列高级日志记录架构可扩展到数千万个捕获的事件和千兆字节日志数据流程树工具显示所有数据之间的关系进程跟踪原生日志格式保留所有数据以不同方式加载进程监控实例进程工具提示,方便查看过程映像信息详细的工具提示,方便访问格式不适合列出所有操作的启动时间记录,可以取消搜索。
5. PowerTool
PowerTool 是一款免费且功能强大的进程管理器,支持强制结束进程。您可以解锁占用该文件的进程并查看文件/文件夹的占用状态。查看和管理内核模块和驱动程序、转储进程模块内存等功能。
下载链接:https://download.csdn.net/download/weixin_44895005/85044709
主要功能:
枚举所有进程(包括内核中的隐藏进程)
枚举所有文件(包括隐藏在内核中的文件)
枚举进程中的所有模块(包括内核中的隐藏模块)
强制结束进程
强制卸载进程中的模块
检索模块由哪些进程加载
检查文件/文件夹的占用状态
您可以解锁占用该文件的进程
文件/文件夹粉碎(可强制删除Unlocker1.8.9/金山毒霸/超级巡警文件粉碎机无法删除的顽固文件)
防止文件被粉碎后被恢复软件恢复(使用美国国防部DOD 5220.22-m标准防止文件恢复)
利用磁盘解析技术检索硬盘数据
查看和管理内核模块和驱动程序
查看和管理启动项
14.查看和管理系统服务
将文件粉碎功能集成到系统右键菜单中
16.查看和卸载消息钩子
查看和卸载SSDT/Shadow SSDT 挂钩
查看和卸载各种内核回调
多语言版本支持(中文、英文)
暂停和恢复进程运行
进程模块内存转储
查看和结束进程线程
查看和控制过程窗口
查看和删除进程计时器(此功能尚不兼容Windows 2003)
25.查看并移除内核定时器
上传文件在线查毒
查看和删除用户级挂钩
查看和结束内核线程
清除关闭回调
检查并删除迷你文件驱动程序
系统恢复功能(检测项目包括注册表关键部分、安装的杀毒软件、自动运行文件、Windows漏洞检测、共享文件夹)
检测和删除恶意快捷方式
33、图片劫持的检测与删除
文件关联检测和删除
IE相关检测与清除
FSD Hook的检测和删除
Object Hook的检测和删除
部分CPU/硬盘/显卡/主板温度检测
确认一些硬件信息
漏洞修复功能,可以下载安装Windows补丁
IDT钩子的检测和恢复
禁用进程创建、新文件、注册表修改和其他配置
注册表功能可以忽略几乎所有隐藏注册表的钩子
SPI检测
通过磁盘解析浏览文件
文件强制复制功能可以复制在线视频的缓存文件
通过磁盘解析获取并复制ADS流文件
添加并查看文件重启和删除信息
磁盘/Atapi驱动程序钩子检测和恢复
进程权限的枚举和删除
检测键盘监听软件
检测受监控的文件
IO定时器的检测和停止
工作柱螺纹的检测和暂停
FAT32格式磁盘解析
添加了MBR检测和修复(可以对抗重影和其他Bootkit和MBR Rootkit)
添加了对被替换或受感染的内核文件的检测(内核文件劫持)
支持多个硬盘的MBR检测和恢复
添加了可疑设备的检测和删除
支持离线启动项和服务的检测和删除
强制删除注册表和服务
添加PT注册表和文件浏览器跳转到启动项和服务
简单的关机重启预防功能(可能无法阻止病毒强制重启)
IME输入法管理
内存模块(目前仅支持DDR2/DDR3)检测(频率、尺寸、制造商、生产日期等)
监控检查(尺寸、制造商、生产日期等)
67.电池信息检测
复制驱动模块内存及卸载驱动功能
AMD CPU (K8/K10) 温度检测
可动态显示硬件厂商中/英文名称
识别奸商
网络连接视图
内核IAT/EAT 钩子检测
重命名文件/文件夹(包括被其他进程占用的文件)
75.隐藏账户或/长账户管理及查看功能
Ghost 3中MBR的检测和自动恢复功能
进程回调表钩子检测
新增硬盘读写进程检测
查看调试寄存器挂钩
查看内核入口点的钩子
检测并恢复系统驱动程序感染
检测BMW/Mebromi等Awards的BIOS Rootkit并显示部分BIOS信息
检测VBR bootkit并上传到VirusTotal进行检测
检测Rootkit 内存欺骗/内核调试器
6. Event Log Explorer
Event Log Explorer 是一款免费软件,用于查看、监视和分析Microsoft Windows NT/2000/XP/2003 操作系统的安全日志、系统日志、应用程序日志和其他日志中记录的事件。
下载链接:https://www.eventlogxp.com/
事件日志浏览器主要功能:
多文档用户界面(MDI) 一次查看多个事件日志
最喜欢的计算机及其日志按树分组
查看事件日志和事件日志文件
存档事件日志
日志窗口中的事件描述
事件列表可以按任意列、任意方向排序
按任何条件进行高级过滤,包括事件描述文本
快速过滤功能使您只需点击几下鼠标即可过滤事件日志
按任意条件快速搜索
将事件日志发送到打印机
将日志导出为不同格式
7. FullEventLogView
FullEventLogView是一个Windows事件日志查看工具,可以显示和查看所有Windows事件日志的详细信息,包括事件描述。它支持查看本地计算机和远程计算机上的事件,并且可以将事件导出为文本、csv、制表符分隔、html、xml 和其他类型的文件。
下载链接:https://download.csdn.net/download/weixin_44895005/85044736
8. Log Parser
Log Parser 是一款功能强大的通用工具,可提供对基于文本的数据(例如日志文件、XML 文件和CSV 文件)以及Windows 操作系统上的关键数据源(例如事件日志、注册表、文件系统和Active Directory。
下载链接:https://www.microsoft.com/en-us/download/details.aspx?id=24659
9. WinPrefetchView
WinPrefetchView 是一个小型进程管理实用程序,它读取系统上存储的预取文件并显示其中存储的信息。
每次在系统上运行应用程序时,Windows 操作系统都会创建一个预取文件,其中包含有关应用程序加载的文件的信息。通过查看这些文件,您可以了解应用程序使用了哪些文件以及Windows 启动时加载了哪些文件。预取文件中的信息用于在您下次运行应用程序时优化应用程序的加载时间。
下载链接:https://www.majorgeeks.com/files/details/winprefetchview.html
10. WifiHistoryView
WifiHistoryView 是一款适用于Windows 10/8/7/Vista 的简单工具,可显示计算机上无线网络的连接历史记录。对于计算机连接到无线网络或从无线网络断开连接的每个事件,都会显示以下信息:事件的日期/时间、网络名称(SSID)、配置文件名称、网络适配器名称、路由器/接入点的BSSID 以及更多的…
WifiHistoryView 可以从正在运行的系统或另一台计算机上的外部事件日志文件读取WiFi 历史记录信息。
只要您以管理员身份连接到远程计算机,您还可以查看网络上远程计算机的WiFi 历史记录。
用户评论
这篇文章真是太棒了!作为一名IT新人,对一些常用的应急响应工具还不太了解,这篇文章介绍得很详细,而且用图解的方式来讲解,特别容易理解。我决定跟着文章学习一下这些工具,提升我的网络安全能力!
有10位网友表示赞同!
看到这么多工具,确实压力山大啊。感觉2023年网络安全风险越来越大了,得认真学习这些常用的应急响应工具才行!不过我有点担心自己没时间去深入学习这些工具。
有18位网友表示赞同!
很有用的信息分享,尤其是对新手来说简直太重要了!不过个人认为文章中还可以补充一些具体的案例或实战经验,这样更能帮助我们更好地理解和应用这些工具。期待后续的文章更新!
有7位网友表示赞同!
我最近一直在关注网络安全的发展趋势,感觉很多新工具层出不穷。这篇博文整理的很好,让我对2023年热门的应急响应工具有了更深入的了解。以后我会重点学习这几个工具,希望能提升自己的技能水平。
有14位网友表示赞同!
文章写的很棒!这些常用工具的确非常常用,很多时候都需要用到它们。 我已经收藏了篇文章链接,方便日后查阅和学习!
有13位网友表示赞同!
我觉得每个安全领域的专业人士都应该收藏这篇博文。它列出的工具都是必须掌握的技能,特别是在应对紧急情况时。希望以后作者能继续更新其他方面的网络安全知识分享!
有7位网友表示赞同!
我目前在使用的一些应急响应工具并不在这篇文章中。难道是过时的?还是说文章中只是列举了部分常用的工具呢?
有10位网友表示赞同!
这篇博客让我对2023年网络安全的趋势有了更清晰的认识。 很多这些工具,我以前听都没听说过!以后一定要好好学习一下!
有5位网友表示赞同!
虽然这篇文章介绍了很多很棒的应急响应工具,但我觉得文章可以多分享一些实战经验和案例,这样对学习者更有帮助吧。毕竟只是看工具名很难完全理解它们的用法啊。
有20位网友表示赞同!
对于网络安全新手来说,这篇文章简直太宝贵了!之前对这个领域一无所知,现在读完这篇博客后感觉豁然开朗了很多。
有19位网友表示赞同!
我是一个一直在关注网络安全发展的IT工程师,这篇博文介绍的工具我都比较熟悉。不过对于新手来讲,建议作者可以将文章组织得更加系统化一些,例如按照工具的功能分类,这样更容易理解和记忆。
有16位网友表示赞同!
很棒的文章!很多工具都很有深度,我会花时间仔细学习一下使用方法,希望能提升自己的网络安全防护能力。
有14位网友表示赞同!
对于我来说这个主题太窄了。我相信 2023 年除了这些应急响应工具之外,还有很多其他的重要技术需要关注?文章可以考虑更广阔的视角来探讨网络安全的未来方向吗?
有12位网友表示赞同!
感觉这篇文章很适合作为入门指南阅读!希望作者能继续分享更多关于网络安全实用技巧的文章,我很期待。
有17位网友表示赞同!
对于那些想成为网络安全专家的学生来说,这是一篇非常有用的文章! 这些工具的知识都是非常重要的组成部分。
有7位网友表示赞同!
很棒的文章,深入浅出地介绍了常用应急响应工具。希望作者能继续更新相关内容,让我可以持续学习最新的网络安全知识!
有18位网友表示赞同!
我之前也使用过一些这篇文章提到的工具,但现在看来我的使用方式可能还有待改进,需要花时间研究一下更专业的使用方法!
有9位网友表示赞同!
作为一名企业IT维护人员,我觉得这篇博文对我很实用。我会尝试学习这些常用工具,提高我们的应急处理能力。
有19位网友表示赞同!