史上最全 Windows 安全工具錦集

“工欲善其事界睁,必先利其器觉增。”

在深信服安全團(tuán)隊整理的常用工具的基礎(chǔ)上翻斟,又添加了一批實用工具包括:調(diào)試反匯編工具抑片、應(yīng)急工具、流量分析工具和WebShell查殺工具杨赤,希望可以幫助到一些安全行業(yè)的朋友敞斋。

PE工具篇

PETools

PETools 是一款免費的PE文件編輯工具。PEditor 功能有轉(zhuǎn)存進(jìn)程疾牲、檢測可執(zhí)行文件加殼類型植捎、在SoftICE中插入中斷、編輯PE文件的導(dǎo)入表阳柔、節(jié)表焰枢、重建校驗和、重建程序等舌剂,其自帶了一個簽名管理程序可自己添加更多的殼類型來讓 PETools 識別济锄,支持插件,并帶有插件編寫示例霍转,你也可以自己開發(fā)需要的插件荐绝。

PEiD

一款著名的PE偵殼工具,可以檢測PE常見的一些殼避消,但是目前已經(jīng)無法從官網(wǎng)獲得:

EXEInfoPE

PE偵殼工具低滩,PEiD的加強(qiáng)版,可以查看EXE/DLL文件編譯器信息岩喷、是否加殼恕沫、入口點地址、輸出表/輸入表等等PE信息:

下載地址:http://www.exeinfo.xn.pl/

DetectIt Easy

開源的PE偵殼工具纱意,是一個跨平臺的應(yīng)用程序婶溯,有Windows、Linux偷霉、Mac OS多個可用版本:

下載地址:http://ntinfo.biz/index.html

CFFExplorer

一款優(yōu)秀的PE32 &PE64編輯工具迄委,可以方便的查看及編輯PE文件。完全支持.NET文件格式:

下載地址:https://ntcore.com/?page_id=388

StudyPE

PE32 & PE64 查看分析集成工具腾它,具有強(qiáng)大的PE結(jié)構(gòu)處理分析功能跑筝,在查殼方面功能略顯薄弱:

下載地址:https://bbs.pediy.com/thread-246459-1.htm

調(diào)試/反編譯工具篇

OllyDbg

Ring3級調(diào)試器死讹,支持插件擴(kuò)展功能瞒滴,唯一不足的是OD是一個32位調(diào)試器,不支持調(diào)試64位程序。官方給出的原版程序是無插件的妓忍,有需要的童鞋可以在吾愛破解論壇自行搜索:

下載地址:http://www.ollydbg.de/

WinDbg

支持Windows平臺虏两,用戶態(tài)和內(nèi)核態(tài)的調(diào)試器,有圖形界面和命令行兩種調(diào)試方式世剖。其強(qiáng)大的內(nèi)核調(diào)試功能收獲了眾多的追捧者:

下載地址:https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/debugger-download-tools

x32dbg/x64dbg

一款開源的調(diào)試器定罢,從界面和操作使用和OD相似,支持32位和64位應(yīng)用程序的調(diào)試旁瘫。解決了OD對64位應(yīng)用程序調(diào)試上的缺陷:

下載地址:https://x64dbg.com/#start

dnSpy

一款針對.NET程序的開源逆向程序的工具祖凫。包含了反匯編器,調(diào)試器和匯編編輯器等功能組件酬凳,支持插件功能:

下載地址:https://github.com/0xd4d/dnSpy

IDAPro

全稱:InteractiveDisassembler Professional惠况,交互式反匯編器專業(yè)版,目前最棒的靜態(tài)反編譯工具宁仔,是眾多安全人士的首選:

下載地址:https://www.hex-rays.com/products/ida/

VB Decompiler

針對Visual Basic 5.0/6.0開發(fā)的程序的反編譯器:

下載地址:https://www.vb-decompiler.org/products/cn.htm

應(yīng)急工具篇

日志相關(guān)

Sysmon

WindowsSysinternals出品的一款Sysinternals系列中的工具稠屠。它以系統(tǒng)服務(wù)和設(shè)備驅(qū)動程序的方法安裝在系統(tǒng)上,并保持常駐性翎苫。用來監(jiān)視和記錄系統(tǒng)活動权埠,并記錄到windows事件日志,可以提供有關(guān)進(jìn)程創(chuàng)建煎谍,網(wǎng)絡(luò)鏈接和文件創(chuàng)建時間更改的詳細(xì)信息:

下載地址:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

LastActivityView

是一款電腦操作記錄查看器攘蔽,直接調(diào)用系統(tǒng)日志,顯示安裝軟件呐粘、系統(tǒng)啟動秩彤、關(guān)機(jī)、網(wǎng)絡(luò)連接事哭、執(zhí)行exe 的發(fā)生時間和路徑:

下載地址:http://www.nirsoft.net/utils/computer_activity_view.html

注冊表相關(guān)

Regshot

注冊表比較工具漫雷,通過抓取兩次注冊表快速比較得出兩次注冊表的不同之處:

下載地址:https://sourceforge.net/projects/regshot/

Autoruns

基于Windows平臺的自動運行程序的管理工具△⒃郏可以控制登錄時的加載程序降盹、驅(qū)動程序加載、服務(wù)啟動谤辜、任務(wù)計劃等 Windows 中各種方面的啟動項:

下載地址:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

進(jìn)程相關(guān)

ProcessHacker

一款功能豐富的開源系統(tǒng)進(jìn)程輔助工具蓄坏,可以方便的查看進(jìn)程的運行情況、內(nèi)存以及模塊信息丑念,還可以對進(jìn)程進(jìn)行管理:

下載地址:https://processhacker.sourceforge.io/

PowerTool

一款免費的進(jìn)程管理器涡戳,可以Unlock占用文件的進(jìn)程,查看文件或文件夾被占用的情況脯倚,內(nèi)核模塊和驅(qū)動的查看管理渔彰,進(jìn)程模塊的內(nèi)存dump等工具:

下載地址:https://www.portablesoft.org/

ProcessLasso

一款獨特的調(diào)試進(jìn)程級別的系統(tǒng)優(yōu)化工具嵌屎,主要功能是基于其特別的算法動態(tài)調(diào)整各個進(jìn)程優(yōu)先級以實現(xiàn)為系統(tǒng)減負(fù)的目的』型浚可以用來監(jiān)視進(jìn)程動作:

下載地址:https://bitsum.com/

Process Explorer

Process Explorer是由Sysinternals開發(fā)的Windows系統(tǒng)和應(yīng)用程序監(jiān)視工具宝惰,目前已并入微軟旗下。不僅結(jié)合了Filemon(文件監(jiān)視器)和Regmon(注冊表監(jiān)視器)兩個工具的功能再沧,還增加了多項重要的增強(qiáng)功能尼夺。包括穩(wěn)定性和性能改進(jìn)、強(qiáng)大的過濾選項炒瘸、進(jìn)程樹對話框(增加了進(jìn)程存活時間圖表)淤堵、可根據(jù)點擊位置變換的右擊菜單過濾條目、集成帶源代碼存儲的堆棧跟蹤對話框顷扩、更快的堆棧跟蹤粘勒、可在 64位 Windows 上加載 32位 日志文件的能力、監(jiān)視映像(DLL和內(nèi)核模式驅(qū)動程序)加載屎即、系統(tǒng)引導(dǎo)時記錄所有操作等庙睡。

下載地址:https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

文件相關(guān)

Process Monitor

一款擁有功能強(qiáng)大的監(jiān)視和過濾的高級Windows進(jìn)程監(jiān)視器工具,可實時顯示文件系統(tǒng)技俐、注冊表乘陪、進(jìn)程/線程的活動。

下載地址:https://www.sysinternals.com

HashTab

文件校驗工具雕擂,分為免費個人版以及付費版啡邑。下載安裝后可以通過查看文件屬性中的HashTab快速得到文件的哈希值,支持多種哈希算法:

下載地址:http://implbits.com/products/hashtab/

HashChecker

一款開源的文件校驗工具井赌,安裝完成后可以通過文件屬性中的文件校驗快速得到文件的哈希值谤逼。支持右鍵菜單創(chuàng)建校驗文件功能和批量校驗功能:

下載地址:http://code.kliu.org/hashcheck/

Unlocker

一款右鍵擴(kuò)充工具,通過刪除文件和程序關(guān)聯(lián)的方式解除文件的占用仇穗。在解除占用時不會強(qiáng)制關(guān)閉占用文件進(jìn)程:

下載地址:http://emptyloop.com/unlocker/

Everything

強(qiáng)大的Windows桌面搜索引擎流部,可以在NTFS卷上快速的根據(jù)名稱查找文件和目錄:

下載地址:https://www.voidtools.com/zh-cn/

Winhex

是一款優(yōu)秀的十六進(jìn)制編輯器,在計算機(jī)取證纹坐,數(shù)據(jù)恢復(fù)枝冀,低級數(shù)據(jù)處理和IT安全領(lǐng)域非常有用:

下載地址:https://www.x-ways.net/winhex/

BinDiff

一款開源的二進(jìn)制文件對比工具,可幫助安全人員快速發(fā)現(xiàn)反匯編代碼中的差異和相似之處耘子。支持x86果漾、MIPS、ARM/AArch64谷誓、PowerPC等架構(gòu)進(jìn)行二進(jìn)制文件的對比:

下載地址:https://www.zynamics.com/software.html

BeyondCompare

一款由ScooterSoftware推出的文件比較工具绒障。主要用于比較兩個文件夾或者文件并將差異以顏色標(biāo)記,比較的范圍包括目錄捍歪,文檔內(nèi)容等:

下載地址:http://www.beyondcompare.cc/xiazai.html

內(nèi)存相關(guān)

SfAntiBotPro

內(nèi)存檢索工具户辱,可以根據(jù)輸入的字符串快速檢索計算機(jī)內(nèi)存鸵钝,輸出包含該字符串的進(jìn)程信息,在進(jìn)行惡意域名檢測時有事半功倍的效果:

下載地址:

(32位)http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

(64位)http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

DumpIt

是一款免安裝的Windows內(nèi)存鏡像取證工具焕妙,可以使用其輕松的將一個系統(tǒng)的完整內(nèi)存鏡像下來蒋伦,并用于后續(xù)的調(diào)查取證工作:

下載地址:https://my.comae.com/tools

設(shè)備監(jiān)控

USBLogView

一款USB設(shè)備監(jiān)控軟件弓摘,后臺運行焚鹊,可以記錄插入或拔出系統(tǒng)的任何USB的詳情信息:

下載地址:https://www.nirsoft.net/utils/usb_log_view.html

集成工具

PC Hunter

一款驅(qū)動級的系統(tǒng)維護(hù)工具,能夠查看各種Windows的各類底層系統(tǒng)信息韧献,包括進(jìn)程末患、驅(qū)動模塊、內(nèi)核锤窑、內(nèi)核鉤子璧针、應(yīng)用層鉤子,網(wǎng)絡(luò)渊啰、注冊表探橱、文件、啟動項绘证、系統(tǒng)雜項隧膏、電腦體檢等:

下載地址:http://www.xuetr.com/

MalwareDefender

一款 HIPS (主機(jī)入侵防御系統(tǒng))軟件,用戶可以自己編寫規(guī)則來防范病毒嚷那、木馬的侵害胞枕。另外,MalwareDefender提供了很多有效的工具來檢測和刪除已經(jīng)安裝在您的計算機(jī)系統(tǒng)中的惡意軟件:

下載地址:https://labs.#/malwaredefender/

火絨劍

一款用于分析魏宽、處理惡意程序的安全工具軟件腐泻,提供了“程序行為監(jiān)控”、“進(jìn)程管理”队询、“文件管理”派桩、“注冊表管理”、“系統(tǒng)啟動項管理”蚌斩、”內(nèi)核程序管理“窄坦、“代碼鉤子掃描”七大功能:

下載地址:

(火絨劍獨立版,不支持win8.1以上的系統(tǒng))down4.huorong.cn/hrsword.exe

流量分析工具篇

WireShark

一款網(wǎng)絡(luò)封包分析工具凳寺,可以幫助用戶深入分析網(wǎng)絡(luò)協(xié)議鸭津,涵蓋上百種協(xié)議以及各類主要平臺。通過GUI或TTY-mode瀏覽數(shù)據(jù):

下載地址:wireshark.org/download.html

Fiddler

C#編寫的http抓包改包工具肠缨,相較wireshark更加輕量級逆趋,在http和https數(shù)據(jù)包的抓取上更加專業(yè)。還能設(shè)置斷點晒奕,修改請求和響應(yīng)的數(shù)據(jù)闻书,模擬弱網(wǎng)絡(luò)環(huán)境名斟。支持插件擴(kuò)展:

下載地址:https://www.telerik.com/download/fiddler

MicrosoftNetwork Monitor

只支持Windows平臺的網(wǎng)絡(luò)數(shù)據(jù)分析工具,提供了一個專業(yè)的網(wǎng)路實時流量圖形界面魄眉,擁有識別和監(jiān)控超過300種網(wǎng)絡(luò)協(xié)議的能力:

下載地址:https://www.microsoft.com/en-us/download/details.aspx?id=4865

CapsaPacket Sniffer

網(wǎng)絡(luò)分析工具砰盐,用于網(wǎng)絡(luò)監(jiān)控、故障排除和網(wǎng)絡(luò)診斷等功能:

下載地址:https://www.colasoft.com/capsa-free/

NetworkMiner

支持Windows平臺的網(wǎng)絡(luò)取證分析工具坑律,通過嗅探或者分析PCAP文件可以偵測到操作系統(tǒng)岩梳,主機(jī)名和開放的網(wǎng)絡(luò)端口主機(jī):

下載地址:https://sourceforge.net/projects/networkminer/files/networkminer/

AngryIP Scanner

這是一款開源的網(wǎng)絡(luò)掃描儀,支持Linux晃择,Windows和Mac OS X平臺冀值,可以在最短的時間內(nèi)掃描遠(yuǎn)端主機(jī)IP運作情況,包括主機(jī)名宫屠,目前開放的端口和IP的運作情況:

下載地址:https://angryip.org

WebShell查殺工具篇

D盾

D盾是一個專為IIS設(shè)計的主動防御保護(hù)軟件列疗,有一句話免疫,主動后門攔截浪蹂,SESSION保護(hù)抵栈,防WEB嗅探,防CC坤次,防篡改古劲,注入防御,防XSS浙踢,防提權(quán)绢慢,上傳防御,未知0day防御洛波,異形腳本防御等功能胰舆,以內(nèi)外保護(hù)的方式防止網(wǎng)站和服務(wù)器被入侵。

下載地址:http://www.d99net.net/

WebShellKiller

WebShellKiller是個Web后門專殺工具蹬挤,不僅支持Webshell掃描缚窿,還支持暗鏈掃描。該工具將傳統(tǒng)的技術(shù)與人工智能技術(shù)相結(jié)合焰扳、靜態(tài)掃描和動態(tài)分析相結(jié)合倦零,更精準(zhǔn)的檢測出Web網(wǎng)站已知和未知的后門文件:

下載地址:

(Windows平臺)https://edr.sangfor.com.cn/tool/WebShellKillerTool.zip

(Linux平臺)http://edr.sangfor.com.cn/api/download/WebShellKillerForLinux.tar.gz

WEBDIR+

在線WebShell掃描器:

鏈接地址:https://scanner.baidu.com/#/pages/intro

WebShellDetector

在線WebShell掃描器:

鏈接地址:http://www.shelldetector.com

WEBSHELL.PUB

在線WebShell掃描器:

下載鏈接:http://www.shellpub.com

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市吨悍,隨后出現(xiàn)的幾起案子扫茅,更是在濱河造成了極大的恐慌,老刑警劉巖育瓜,帶你破解...
    沈念sama閱讀 217,084評論 6 503
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件葫隙,死亡現(xiàn)場離奇詭異,居然都是意外死亡躏仇,警方通過查閱死者的電腦和手機(jī)恋脚,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,623評論 3 392
  • 文/潘曉璐 我一進(jìn)店門腺办,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人糟描,你說我怎么就攤上這事怀喉。” “怎么了船响?”我有些...
    開封第一講書人閱讀 163,450評論 0 353
  • 文/不壞的土叔 我叫張陵躬拢,是天一觀的道長。 經(jīng)常有香客問我灿意,道長估灿,這世上最難降的妖魔是什么崇呵? 我笑而不...
    開封第一講書人閱讀 58,322評論 1 293
  • 正文 為了忘掉前任缤剧,我火速辦了婚禮,結(jié)果婚禮上域慷,老公的妹妹穿的比我還像新娘荒辕。我一直安慰自己,他們只是感情好犹褒,可當(dāng)我...
    茶點故事閱讀 67,370評論 6 390
  • 文/花漫 我一把揭開白布抵窒。 她就那樣靜靜地躺著,像睡著了一般叠骑。 火紅的嫁衣襯著肌膚如雪李皇。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 51,274評論 1 300
  • 那天宙枷,我揣著相機(jī)與錄音掉房,去河邊找鬼。 笑死慰丛,一個胖子當(dāng)著我的面吹牛卓囚,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播诅病,決...
    沈念sama閱讀 40,126評論 3 418
  • 文/蒼蘭香墨 我猛地睜開眼哪亿,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了贤笆?” 一聲冷哼從身側(cè)響起蝇棉,我...
    開封第一講書人閱讀 38,980評論 0 275
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎芥永,沒想到半個月后篡殷,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,414評論 1 313
  • 正文 獨居荒郊野嶺守林人離奇死亡恤左,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 37,599評論 3 334
  • 正文 我和宋清朗相戀三年贴唇,在試婚紗的時候發(fā)現(xiàn)自己被綠了搀绣。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 39,773評論 1 348
  • 序言:一個原本活蹦亂跳的男人離奇死亡戳气,死狀恐怖链患,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情瓶您,我是刑警寧澤麻捻,帶...
    沈念sama閱讀 35,470評論 5 344
  • 正文 年R本政府宣布,位于F島的核電站呀袱,受9級特大地震影響贸毕,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜夜赵,卻給世界環(huán)境...
    茶點故事閱讀 41,080評論 3 327
  • 文/蒙蒙 一明棍、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧寇僧,春花似錦摊腋、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,713評論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至细办,卻和暖如春橙凳,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背笑撞。 一陣腳步聲響...
    開封第一講書人閱讀 32,852評論 1 269
  • 我被黑心中介騙來泰國打工岛啸, 沒想到剛下飛機(jī)就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人娃殖。 一個月前我還...
    沈念sama閱讀 47,865評論 2 370
  • 正文 我出身青樓值戳,卻偏偏與公主長得像,于是被迫代替她去往敵國和親炉爆。 傳聞我的和親對象是個殘疾皇子堕虹,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 44,689評論 2 354

推薦閱讀更多精彩內(nèi)容