美國服務(wù)器Windows可用的工具也是非常多，今天美聯(lián)科技小編整理了一些美國服務(wù)器Windows系統(tǒng)常見并且實(shí)用的PE工具、調(diào)試反匯編工具、應(yīng)急工具、流量分析工具和Web Shell查殺工具，希望可以幫助到一些安全行業(yè)的美國服務(wù)器初學(xué)用戶。

        一、PE工具篇

        PEiD

        一款著名的PE偵殼工具，可以檢測(cè)PE常見的一些殼，但是目前已經(jīng)無法從官網(wǎng)獲得。

        EXEInfoPE

        PE偵殼工具，PEiD的加強(qiáng)版，可以查看EXE/DLL文件編譯器信息、是否加殼、入口點(diǎn)地址、輸出表/輸入表等等PE信息。

        DetectIt Easy

        開源的PE偵殼工具，是一個(gè)跨平臺(tái)的應(yīng)用程序，有Windows、Linux、Mac OS多個(gè)可用版本。

        CFFExplorer

        優(yōu)秀的PE32 &PE64編輯工具，可以方便的查看及編輯PE文件，完全支持.NET文件格式。

        StudyPE

        PE32 & PE64 查看分析集成工具，具有強(qiáng)大的PE結(jié)構(gòu)處理分析功能，在查殼方面功能略顯薄弱。

        二、調(diào)試/反編譯工具篇

        OllyDbg

         Ring3級(jí)調(diào)試器，支持插件擴(kuò)展功能，唯一不足的是OD是一個(gè)32位調(diào)試器，不支持調(diào)試64位程序。

        WinDbg

        支持Windows平臺(tái)，用戶態(tài)和內(nèi)核態(tài)的調(diào)試器，有圖形界面和命令行兩種調(diào)試方式，具有強(qiáng)大的內(nèi)核調(diào)試功能。

        x32dbg/x64dbg

        開源的調(diào)試器，從界面和操作使用和OD相似，支持32位和64位應(yīng)用程序的調(diào)試，解決了OD對(duì)64位應(yīng)用程序調(diào)試上的缺陷。

        dnSpy

        針對(duì).NET程序的開源逆向程序的工具，包含了反匯編器，調(diào)試器和匯編編輯器等功能組件，支持插件功能。

        IDAPro

        全稱Interactive Disassembler Professional，交互式反匯編器專業(yè)版，目前最受歡迎的靜態(tài)反編譯工具。

        VB Decompiler

        針對(duì)Visual Basic 5.0/6.0開發(fā)的程序的反編譯器。

        三、應(yīng)急工具篇

        1、日志相關(guān)

        Sysmon

        Windows Sysinternals出品的一款Sysinternals系列中的工具，它以系統(tǒng)服務(wù)和設(shè)備驅(qū)動(dòng)程序的方法安裝在系統(tǒng)上，并保持常駐性。用來監(jiān)視和記錄系統(tǒng)活動(dòng)，并記錄到windows事件日志，可以提供有關(guān)進(jìn)程創(chuàng)建，網(wǎng)絡(luò)鏈接和文件創(chuàng)建時(shí)間更改的詳細(xì)信息。

        LastActivityView

        電腦操作記錄查看器，直接調(diào)用系統(tǒng)日志，顯示安裝軟件、系統(tǒng)啟動(dòng)、關(guān)機(jī)、網(wǎng)絡(luò)連接、執(zhí)行exe 的發(fā)生時(shí)間和路徑。

        2、注冊(cè)表相關(guān)

        Regshot

        注冊(cè)表比較工具，通過抓取兩次注冊(cè)表快速比較得出兩次注冊(cè)表的不同之處。

        Autoruns

        基于Windows平臺(tái)的自動(dòng)運(yùn)行程序的管理工具，可以控制登錄時(shí)的加載程序、驅(qū)動(dòng)程序加載、服務(wù)啟動(dòng)、任務(wù)計(jì)劃等 Windows 中各種方面的啟動(dòng)項(xiàng)。

        3、進(jìn)程相關(guān)

        Process Hacker

        一款功能豐富的開源系統(tǒng)進(jìn)程輔助工具，可以方便的查看進(jìn)程的運(yùn)行情況、內(nèi)存以及模塊信息，還可以對(duì)進(jìn)程進(jìn)行管理。

        Power Tool

        免費(fèi)的進(jìn)程管理器，可以查看文件或文件夾被占用的情況，內(nèi)核模塊和驅(qū)動(dòng)的查看管理，進(jìn)程模塊的內(nèi)存dump等工具。

        Process Lasso

        獨(dú)特的調(diào)試進(jìn)程級(jí)別的系統(tǒng)優(yōu)化工具，主要功能是基于其特別的算法動(dòng)態(tài)調(diào)整各個(gè)進(jìn)程優(yōu)先級(jí)以實(shí)現(xiàn)為系統(tǒng)減負(fù)的目的。可以用來監(jiān)視進(jìn)程動(dòng)作。

        4、文件相關(guān)

        Hash Tab

        文件校驗(yàn)工具，分為免費(fèi)個(gè)人版以及付費(fèi)版。下載安裝后可以通過查看文件屬性中的Hash Tab快速得到文件的哈希值，支持多種哈希算法。

        Hash Checker

        開源的文件校驗(yàn)工具，安裝完成后可以通過文件屬性中的文件校驗(yàn)快速得到文件的哈希值，支持右鍵菜單創(chuàng)建校驗(yàn)文件功能和批量校驗(yàn)功能。

        Unlocker

        右鍵擴(kuò)充工具，通過刪除文件和程序關(guān)聯(lián)的方式解除文件的占用，在解除占用時(shí)不會(huì)強(qiáng)制關(guān)閉占用文件進(jìn)程。

        Everything

        強(qiáng)大的Windows桌面搜索引擎，可以在NTFS卷上快速的根據(jù)名稱查找文件和目錄。

        Winhex

        十六進(jìn)制編輯器，在計(jì)算機(jī)取證，數(shù)據(jù)恢復(fù)，低級(jí)數(shù)據(jù)處理和IT安全領(lǐng)域非常有用。

        Bin Diff

        開源的二進(jìn)制文件對(duì)比工具，可幫助安全人員快速發(fā)現(xiàn)反匯編代碼中的差異和相似之處。支持x86、MIPS、ARM/AArch64、PowerPC等架構(gòu)進(jìn)行二進(jìn)制文件的對(duì)比。

        Beyond Compare

        由Scooter Software推出的文件比較工具，主要用于比較兩個(gè)文件夾或者文件并將差異以顏色標(biāo)記，比較的范圍包括目錄，文檔內(nèi)容等。

        5、內(nèi)存相關(guān)

        SfAntiBotPro

        內(nèi)存檢索工具，可以根據(jù)輸入的字符串快速檢索計(jì)算機(jī)內(nèi)存，輸出包含該字符串的進(jìn)程信息，在進(jìn)行惡意域名檢測(cè)時(shí)有事半功倍的效果。

        DumpIt

        免安裝的Windows內(nèi)存鏡像取證工具，可以使用其輕松的將一個(gè)系統(tǒng)的完整內(nèi)存鏡像下來，并用于后續(xù)的調(diào)查取證工作。

        6、設(shè)備監(jiān)控

        USBLogView

        USB設(shè)備監(jiān)控軟件，后臺(tái)運(yùn)行，可以記錄插入或拔出系統(tǒng)的任何USB的詳情信息。

        7、集成工具

        PC Hunter

        驅(qū)動(dòng)級(jí)的系統(tǒng)維護(hù)工具，能夠查看各種Windows的各類底層系統(tǒng)信息，包括進(jìn)程、驅(qū)動(dòng)模塊、內(nèi)核、內(nèi)核鉤子、應(yīng)用層鉤子，網(wǎng)絡(luò)、注冊(cè)表、文件、啟動(dòng)項(xiàng)、系統(tǒng)雜項(xiàng)、電腦體檢等。

        Malware Defender

        HIPS主機(jī)入侵防御系統(tǒng)軟件，用戶可以編寫規(guī)則來防范病毒、木馬的侵害。另外，Malware Defender提供了很多有效的工具來檢測(cè)和刪除已經(jīng)安裝在美國服務(wù)器系統(tǒng)中的惡意軟件。

        火絨劍

        用于分析、處理惡意程序的安全工具軟件，提供了“程序行為監(jiān)控”、“進(jìn)程管理”、“文件管理”、“注冊(cè)表管理”、“系統(tǒng)啟動(dòng)項(xiàng)管理”、”內(nèi)核程序管理“、“代碼鉤子掃描”七大功能。

        四、流量分析工具篇

        WireShark

        網(wǎng)絡(luò)封包分析工具，可以幫助用戶深入分析網(wǎng)絡(luò)協(xié)議，涵蓋上百種協(xié)議以及各類主要平臺(tái)，通過GUI或TTY-mode瀏覽數(shù)據(jù)。

        Fiddler

        C#編寫的http抓包改包工具，相較wireshark更加輕量級(jí)，在http和https數(shù)據(jù)包的抓取上更加專業(yè)。還能設(shè)置斷點(diǎn)，修改請(qǐng)求和響應(yīng)的數(shù)據(jù)，模擬弱網(wǎng)絡(luò)環(huán)境，支持插件拓展。

        Microsoft Network Monitor

        只支持Windows平臺(tái)的網(wǎng)絡(luò)數(shù)據(jù)分析工具，提供了一個(gè)專業(yè)的網(wǎng)路實(shí)時(shí)流量圖形界面，擁有識(shí)別和監(jiān)控超過300種網(wǎng)絡(luò)協(xié)議的能力。

        Capsa Packet Sniffer

        網(wǎng)絡(luò)分析工具，用于網(wǎng)絡(luò)監(jiān)控、故障排除和網(wǎng)絡(luò)診斷等功能。

        Network Miner

        支持Windows平臺(tái)的網(wǎng)絡(luò)取證分析工具，通過嗅探或者分析PCAP文件可以偵測(cè)到操作系統(tǒng)，主機(jī)名和開放的網(wǎng)絡(luò)端口主機(jī)。

        Angry IP Scanner

        開源的網(wǎng)絡(luò)掃描儀，支持Linux，Windows和Mac OS X平臺(tái)，可以在最短的時(shí)間內(nèi)掃描遠(yuǎn)端主機(jī)IP運(yùn)作情況，包括主機(jī)名，目前開放的端口和IP的運(yùn)作情況。

        五、Web Shell查殺工具篇

        D盾

        D盾是一個(gè)專為IIS設(shè)計(jì)的主動(dòng)防御保護(hù)軟件，有一句話免疫，主動(dòng)后門攔截，SESSION保護(hù)，防WEB嗅探，防CC，防篡改，注入防御，防XSS，防提權(quán)，上傳防御，未知0day防御，異形腳本防御等功能，以內(nèi)外保護(hù)的方式防止網(wǎng)站和美國服務(wù)器被入侵。

        Web Shell Killer

        Web Shell Killer是個(gè)Web后門專殺工具，不僅支持Web shell掃描，還支持暗鏈掃描。該工具將傳統(tǒng)的技術(shù)與人工智能技術(shù)相結(jié)合、靜態(tài)掃描和動(dòng)態(tài)分析相結(jié)合，更精準(zhǔn)的檢測(cè)出Web網(wǎng)站已知和未知的后門文件。

        關(guān)注美聯(lián)科技，關(guān)注更多IDC資訊！