网络安全应急响应专题文章：

1. 网络安全应急响应-日志分析技术

2. 网络安全应急响应-流量分析技术

3. 网络安全应急响应-恶意代码分析技术

4. 网络安全应急响应-终端检测与响应技术

5. 网络安全应急响应-电子数据取证技术

6. 网络安全应急响应-常用工具

7. 网络安全应急响应-基础技能

1. Sysinternals Suite

Sysinternals Suite是微软发布的一套非常强大的免费工具程序集。
下载链接：https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysinternals-suite

其中包含：

• AccessChk
  为了确保创建安全的环境，Windows 管理员通常需要了解特定用户或用户组对文件、目录、注册表项和 Windows 服务等资源具有哪种访问权限。AccessChk 能够通过直观的界面和输出快速回答这些问题。
• AccessEnum
  这一简单但强大的安全工具可以向您显示，谁可以用何种访问权限访问您系统中的目录、文件和注册表项。使用此工具可查找权限漏洞。
• AdExplorer
  Active Directory Explorer 是一个高级的 Active Directory (AD) 查看器和编辑器。
• AdInsight
  一种 LDAP（轻型目录访问协议）实时监视工具，旨在对 Active Directory 客户端应用程序进行故障排除。
• AdRestore
  恢复已删除的 Server 2003 Active Directory 对象。
• Autologon
  登录过程中跳过密码屏幕。
• Autoruns
  查看哪些程序被配置为在系统启动和您登录时自动启动。Autoruns 还能够完整列出应用程序可以配置自动启动设置的注册表和文件位置。
• BgInfo
  此完全可配置程序会自动生成桌面背景，其中包含有关系统的 IP 地址、计算机名称、网络适配器及更多内容的重要信息。
• BlueScreen
  此屏幕保护程序不仅精确模拟“蓝屏”，而且也模拟重新启动（完成 CHKDSK），并可在 Windows NT 4、Windows 2000、Windows XP、Server 2003 和 Windows 9x 上工作。
• CacheSet
  CacheSet 是一个允许您利用 NT 提供的功能来控制缓存管理器的工作集大小的程序。它与 NT 的所有版本都兼容。
• ClockRes
  查看系统时钟的分辨率，亦即计时器最大分辨率。
• Contig
  您是否希望迅速对您频繁使用的文件进行碎片整理？使用 Contig 优化单个的文件，或者创建连续的新文件。
• Coreinfo
  Coreinfo 是一个新的命令行实用工具，可向您显示逻辑处理器与物理处理器之间的映射、NUMA 节点和它们所处的插槽，以及分配给每个逻辑处理器的缓存。
• Ctrl2cap
  这是一个内核模式的驱动程序，可在键盘类驱动程序上演示键盘输入过滤，以便将 Caps-Lock 转变为控制键。在此级别过滤允许在 NT 刚好要“看到”键之前变换和隐藏键。Ctrl2cap 还显示如何使用 NtDisplayString() 打印初始化蓝屏的消息。
• DebugView
  Sysinternals 的另一个优先程序：此程序截取设备驱动程序对 DbgPrint 的调用和 Win32 程序生成的 OutputDebugString。它允许在不使用活动的调试器的情况下，在本地计算机上或通过 Internet 查看和记录调试会话输出。
• Desktops
  使用这一新的实用工具可以创建最多四个虚拟桌面，使用任务栏界面或热键预览每个桌面上的内容并在这些桌面之间轻松地进行切换。
• Disk2vhd
  Disk2vhd 可简化从物理系统到虚拟机 (p2v) 的迁移。
• DiskExt
  显示卷磁盘映射。
• Diskmon
  此实用工具会捕捉所有硬盘活动，或者在您的系统任务栏中象软件磁盘活动灯一样工作。
• DiskView
  图形磁盘扇区实用工具。
• Disk Usage (DU)
  按目录查看磁盘使用情况。
• EFSDump
  查看加密文件的信息。
• Handle
  此易用命令行实用工具将显示哪些进程打开了哪些文件，以及更多其他信息。
• Hex2dec
  将十六进制数字转换为十进制及反向转换。
• 接合点
  创建 Win2K NTFS 符号链接。
• LDMDump
  转储逻辑磁盘管理器在磁盘上的数据库内容，其中说明了 Windows 2000 动态磁盘的分区情况。
• ListDLLs
  列出所有当前加载的 DLL，包括加载位置及其版本号。2.0 版将打印已加载模块的完整路径名。
• LiveKd
  使用 Microsoft 内核调试程序检查真实系统。
• LoadOrder
  查看设备加载到 WinNT/2K 系统中的顺序。
• LogonSessions
  列出系统中的活动登录会话。
• MoveFile
  使您可以安排在系统下一次重新启动时执行移动和删除命令。
• NTFSInfo
  用 NTFSInfo 可以查看有关 NTFS 卷的详细信息，包括主文件表 (MFT) 和 MFT 区的大小和位置，以及 NTFS 元数据文件的大小。
• PageDefrag
  对您的分页文件和注册表配置单元进行碎片整理。
• PendMoves
  枚举在系统下一次启动时所要执行的文件重命名和删除命令的列表。
• PipeList
  显示系统上的命名管道，包括每个管道的最大实例数和活动实例数。
• PortMon
  通过高级监视工具监视串行端口和并行端口的活动。它能识别所有的标准串行和并行 IOCTL，甚至可以显示部分正在发送和接收的数据。3.x 版具有强大的新 UI 增强功能和高级筛选功能。
• ProcDump
  这一新的命令行实用工具旨在捕获其他方式难以隔离和重现 CPU 峰值的进程转储。该工具还可用作用于创建进程转储的一般实用工具，并可以在进程具有挂起的窗口或未处理的异常时监视和生成进程转储。
• Process Explorer
  找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。
• Process Monitor
  实时监视文件系统、注册表、进程、线程和 DLL 活动。
• ProcFeatures
  这一小程序会报告处理器和 Windows 对“物理地址扩展”和“无执行”缓冲区溢出保护的支持情况。
• PsExec
  在远程系统上执行进程。
• PsFile
  查看远程打开的文件。
• PsGetSid
  显示计算机或用户的 SID。
• PsInfo
  获取有关系统的信息。
• PsKill
  v1.13（2009 年 12 月 1 日）
  终止本地或远程进程。
• PsList
  显示有关进程和线程的信息。
• PsLoggedOn
  显示登录到某个系统的用户。
• PsLogList
  转储事件日志记录。
• PsPasswd
  更改帐户密码。
• PsService
  查看和控制服务。
• PsShutdown
  关闭并重新启动（可选）计算机。
• PsSuspend
  挂起和继续进程。
• PsTools
  PsTools 套件包括一些命令行程序，可列出本地或远程计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志，以及执行其他任务。
• RegDelNull
  扫描并删除包含嵌入空字符的注册表项，标准注册表编辑工具不能删除这种注册表项。
• RegJump
  跳至 Regedit 中指定的注册表路径。
• RootkitRevealer
  扫描系统以找出基于 Rootkit 的恶意软件。
• SDelete
  安全地覆盖敏感文件，并使用此符合 DoD 的安全删除程序清理先前删除文件所在的可用空间。
• ShareEnum
  扫描网络上的文件共享并查看其安全设置，以关闭安全漏洞。
• ShellRunas
  通过方便的 shell 上下文菜单项，作为另一个用户启动程序。
• Sigcheck
  转储文件版本信息并检查系统中的映像是否已进行数字签名。
• Streams
  显示 NTFS 备用数据流。
• Strings
  在二进制映像中搜索 ANSI 和 UNICODE 字符串。
• Sync
  将缓存数据刷新到磁盘。
• TCPView
  活动套接字命令行查看器。
• VMMap
  VMMap 是进程虚拟和物理内存分析实用工具。
• VolumeId
  设置 FAT 或 NTFS 驱动器的卷 ID。
• Whois
  查看 Internet 地址的所有者。
• WinObj
  基本对象管理器命名空间查看器。
• ZoomIt
  在屏幕上进行缩放和绘图的演示实用工具。

2. PCHunter

PCHunter是一款系统增强工具，可以对系统内核等实现修改以及系统其他功能微调，相当专业的功能。
下载链接：http://www.xuetr.com/

本工具目前初步实现如下功能：

进程、线程、进程模块、进程窗口、进程内存信息查看，杀进程、杀线程、卸载模块等功能

内核驱动模块查看，支持内核驱动模块的内存拷贝

SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能检测和恢复ssdt hook和inline hook

CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，并支持对这些Notify Routine的删除

端口信息查看，目前不支持2000系统

查看消息钩子

内核模块的iat、eat、inline hook、patches检测和恢复

磁盘、卷、键盘、网络层等过滤驱动检测，并支持删除

注册表编辑

进程iat、eat、inline hook、patches检测和恢复

文件系统查看，支持基本的文件操作

查看（编辑）IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME

ObjectType Hook检测和恢复

DPC定时器检测和删除

MBR Rootkit检测和修复

内核对象劫持检测

WorkerThread枚举

Ndis中一些回调信息枚举

硬件调试寄存器、调试相关API检测

枚举SFilter/Fltmgr的回调

系统用户名检测

3. 火绒剑

火绒剑-互联网安全分析软件（HRSword），它是火绒安全软件里的高级工具，适用Windows系统的安全分析辅助工具，具有系统动作监控、文件管理、进程管理、启动项管理、注册表管理、服务管理、驱动模块、网络管理、系统内核查看、钩子扫描等功能。用它可以查看各类系统信息，通过监控分析系统各种行为。
下载链接：https://www.huorong.cn/

4. Process Monitor

Process Monitor 是一种用于 Windows 的高级监控工具，它显示 实时文件系统、注册表和进程/线程活动。 它结合了 两个遗留 Sysinternals 实用程序的功能， Filemon 和 Regmon ，并添加了广泛的增强功能列表，包括丰富和 无损过滤，会话等综合事件属性 ID 和用户名、可靠的进程信息、完整的线程堆栈 为每个操作提供集成符号支持，同时记录 到一个文件，等等。 其独特的强大功能将使 Process Monitor 是系统故障排除中的核心实用程序 恶意软件搜寻工具包。
下载链接：https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
Process Monitor 包括强大的监控和过滤功能， 包含：

• 为操作输入和输出参数捕获更多数据
• 无损过滤器允许您设置过滤器而不会丢失数据
• 为每个操作捕获线程堆栈使得它在许多 确定操作根本原因的案例
• 可靠捕获进程详细信息，包括图像路径、命令 线路、用户和会话 ID
• 任何事件属性的可配置和可移动列
• 可以为任何数据字段设置过滤器，包括未设置的字段 配置为列
• 高级日志架构可扩展到数千万捕获 事件和千兆字节的日志数据
• 进程树工具显示所有进程的关系 一个痕迹
• 本机日志格式保留所有数据，以便以不同的方式加载 进程监视器实例
• 用于轻松查看过程映像信息的过程工具提示
• 详细工具提示允许方便地访问格式化数据， 不适合列
• 可取消的搜索
• 所有操作的启动时间记录

5. PowerTool

PowerTool 一款免费强大的进程管理器，支持进程强制结束，可以Unlock占用文件的进程，查看文件/文件夹被占用的情况，内核模块和驱动的查看和管理，进程模块的内存的dump等功能。
下载链接：https://download.csdn.net/download/weixin_44895005/85044709

主要功能：

所有进程的枚举（包括内核中隐藏的进程）

所有文件的枚举（包括内核中隐藏的文件）

进程中所有模块的枚举（包括内核中隐藏的模块）

进程的强制结束

进程中模块的强制卸载

模块被哪些进程加载的检索

查看文件/文件夹被占用的情况

可以Unlock占用文件的进程

文件/文件夹的粉碎（可强删Unlocker1.8.9/金山/超级巡警文件粉碎机无法删除的顽固文件）

阻止文件粉碎后用还原软件还原（采用美国国防部DOD 5220.22-m标准阻止文件还原）

用磁盘解析技术检索硬盘数据

内核模块和驱动的查看和管理

启动项的查看和管理
14.系统服务的查看和管理

集成文件粉碎功能到系统右键菜单
16.消息钩子的查看和卸载

SSDT/Shadow SSDT钩子的查看和卸载

各种内核回调的查看和卸载

多国语言版本的对应（中文和英文）

暂停进程运行和恢复进程运行

进程模块的内存的dump

进程的线程的查看和结束

进程的窗口的查看和控制

进程的定时器的查看和摘除（该功能还没对应Windows2003）
25.内核定时器的查看和摘除

上传文件在线扫描病毒

查看和摘除用户层的钩子

查看和结束内核线程

关机回调的清除

查看和摘除mini文件驱动

系统恢复功能（检测项目包括注册表关键部位，已安装的杀毒软件，AutoRun文件，Windows漏洞检测，共享文件夹）

流氓快捷方式的检测和删除
33.镜像劫持的检测和删除

文件关联的检测和删除

IE相关的检测和删除

FSD Hook的检测和删除

Object Hook的检测和删除

部分CPU/硬盘/显卡/主板的温度检测

部分硬件信息的确认

修复漏洞功能，可以下载和安装Windows补丁

IDT钩子的检测和恢复

禁止进程创建，新建文件，注册表修改等配置

注册表功能，几乎可以无视一切隐藏注册表的钩子

SPI的检测

通过磁盘解析进行文件浏览

文件强制拷贝功能，可拷贝网络视频的缓存文件

通过磁盘解析取得和拷贝ADS流文件

添加和查看文件重启删除信息

Disk/Atapi驱动钩子的检测和恢复

进程权限的枚举和摘除

检测键盘侦听软件

检测被监视的文件

IO定时器的检测和停止

工作列线程的检测和暂停

FAT32格式的磁盘解析

新增MBR的检测和修复(可对抗鬼影等Bootkit和MBR Rootkit)

新增检测被替换的或被感染的内核文件（内核文件劫持）

支持多硬盘的MBR检测和恢复

新增可疑设备的检测和清除

支持离线的启动项和服务的检测和删除

注册表和服务的强删功能

启动项和服务里新增PT注册表和文件浏览器的跳转

简易的防止关机和重启功能(不一定可以阻止病毒的强制重启)

IME输入法的管理

内存条(目前只支持DDR2/DDR3)的检测(频率，大小，厂商，生产日期等)

显示器的检测(尺寸，厂商，生产日期等)
67.电池信息的检测

拷贝驱动模块内存和卸载驱动的功能

AMD CPU(K8/K10)温度的检测

可动态显示中/英文名硬件制造厂商

识别奸商

网络连接查看

内核IAT/EAT钩子检测

对文件/文件夹重命名(包括被其他进程占用的文件)
75.隐藏账户或/隆账户的管理查看功能

对鬼影3的MBR的检测和自动恢复功能

进程的回调表钩子检测

增加了硬盘读写过程的检测

查看调试寄存器钩子

查看内核入口点的钩子

检测并可恢复系统驱动感染

检测BMW/Mebromi等Award的BIOS rootkit，并显示一些BIOS信息

检测VBR bootkit，并可上传到VirusTotal检测

检测rootkit的内存欺骗/内核调试器

6. Event Log Explorer

Event Log Explorer 是一款免费软件，用于查看、监控和分析 Microsoft Windows NT/2000/XP/2003 操作系统的安全、系统、应用程序和其他日志中记录的事件。
下载链接：https://www.eventlogxp.com/

Event Log Explorer主要特点：

• 多文档用户界面 (MDI) 一次查看多个事件日志
• 收藏夹计算机及其日志被分组到树中
• 查看事件日志和事件日志文件
• 归档事件日志
• 事件描述在日志窗口中
• 事件列表可按任意列、任意方向排序
• 按任何标准（包括事件描述文本）进行高级过滤
• 快速过滤功能允许您在几次鼠标点击中过滤事件日志
• 按任何标准快速搜索
• 将事件日志发送到打印机
• 将日志导出为不同格式

7. FullEventLogView

FullEventLogView是一个Windows事件日志查看工具，能够显示并查看所有的Windows事件日志的详细信息，包括事件描述，支持查看本地计算机的事件、也可以查看远程计算机的事件，并可以将事件导出为text、csv、tab-delimited、html、xml等类型的文件。
下载链接：https://download.csdn.net/download/weixin_44895005/85044736

8. Log Parser

Log Parser是一个强大的通用工具，它提供对基于文本的数据（如日志文件、XML 文件和 CSV 文件）以及 Windows® 操作系统上的关键数据源（如事件日志、注册表、文件系统和 Active Directory®。
下载链接：https://www.microsoft.com/en-us/download/details.aspx?id=24659

9. WinPrefetchView

WinPrefetchView 是一个小型进程管理实用程序，用于读取存储在系统中的预取文件并显示存储在其中的信息。

每次在系统中运行应用程序时，Windows 操作系统都会创建一个 Prefetch 文件，其中包含有关应用程序加载的文件的信息。 通过查看这些文件，您可以了解应用程序使用了哪些文件以及在 Windows 启动时加载了哪些文件。 预取文件中的信息用于在您下次运行应用程序时优化应用程序的加载时间。
下载链接：https://www.majorgeeks.com/files/details/winprefetchview.html

10. WifiHistoryView

WifiHistoryView 是适用于 Windows 10/8/7/Vista 的简单工具，可显示计算机上无线网络的连接历史记录。 对于计算机连接或断开无线网络的每个事件，都会显示以下信息：事件发生的日期/时间、网络名称 (SSID)、配置文件名称、网络适配器名称、 路由器/接入点的 BSSID，以及更多…
WifiHistoryView 可以从正在运行的系统或另一台计算机的外部事件日志文件中读取 wifi 历史信息。
只要您以管理员身份连接远程计算机，您还可以查看网络上远程计算机的 wifi 历史记录。
下载链接：https://www.nirsoft.net/utils/wifi_history_view.html