梳理三年来应急响应常用的25款工具,附下载地址
01 360系统急救箱
PC端360系统急救箱支持查杀电脑恶性病毒,包含驱动型及MBR型,同时支持扫描清除安卓手机顽固木马。
下载地址:
我用夸克网盘分享了「01 360 系统急救箱」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https: https:
02 360星图
一款非常好用的网站访问日志分析工具,可以有效识别Web漏洞攻击、CC攻击、恶意爬虫扫描、异常访问等行为。一键自动化分析,输出安全分析报告,支持iis/apache/nginx日志,支持自定义格式。但是,支持的日志类型较少,智能用于小网站日志分析,对于数据量很大的网站不适合。
下载地址:
我用夸克网盘分享了「02 360 星图」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https:
03 Autoruns
Autoruns是一款由微软旗下Sysinternals公司出品的专业系统启动项管理工具,这款工具小巧免费,单执行文件,利用它可以查看管理包含系统和任何软件的自动启动项位置的所有信息。它即能显示 Windows 启动或登录时自动运行的程序,又允许用户自定义禁用或删除它们,例如,那些在“启动”文件夹和注册表相关键值中的程序。此外它还可以管理包括:资源管理器右键扩展(如右键菜单项目)、IE浏览器插件(如工具栏扩展)、系统服务和驱动、计划任务、镜像劫持等自启动程序类目的所有详细,进行验证分析操作。
下载地址:
我用夸克网盘分享了「03 Autoruns」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https:
04 AvbTool专杀⼯具
亚信安全Avbtool专杀工具
下载地址:
我用夸克网盘分享了「04 AvbTool专杀⼯具」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https:
05 D盾
『D盾_防火墙』专为IIS设计的一个主动防御的保护软件,以内外保护的方式 防止网站和服务器给入侵,在正常运行各类网站的情 况下,越少的功能,服务器越安全的理念而设计!限制了常见的入侵方法,让服务器更安全!
下载地址:
我用夸克网盘分享了「05 D盾」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https://pan .quark.cn/s/b9b073fa3368 https://www .d99net.net/
06 HTTP Logs Viewer
HTTP Logs Viewer是一款强大的日志分析工具,可以轻松过滤和分析Apache/IIS/nginx日志文件。内置搜索和过滤功能,还支持自定义日志格式。
下载地址:
我用夸克网盘分享了「06 HTTP Logs Viewer」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https:
07 iDefender(冰盾 · 主动防御系统)
冰盾 · 主动防御系统 【专业不流氓】是一款基于iMonitorSDK实现,为专业人士打造的终端、主机主动防御系统。使用冰盾可以帮助您拦截漏洞攻击、抵制流氓软件、保护电脑安全、提高工作效率。
下载地址:
我用夸克网盘分享了「07 iDefender(冰盾 · 主动防御系统)」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https: https:
08 iMonitor(冰镜 - 终端行为分析系统)
iMonitor(冰镜 - 终端行为分析系统)【安全分析人员的必备工具】是一款基于iMonitorSDK的终端行为监控分析软件。
提供了对进程、文件、注册表、网络等系统行为的监控。支持扩展和脚本,可以轻易定制和添加更多功能。可以用于病毒分析、软件逆向、入侵检测,EDR等。
下载地址:
我用夸克网盘分享了「08 iMonitor(冰镜 - 终端行为分析系统)」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https: //pan.quark.cn/s/8ae86f07b5c3 https://github.com/wecooperate/iMonitor/releases
09 ke64
内核工具,使用了Windows未公开的API,使用了更底层获取方法,有较强的操作,让顽固软件或病毒无处可藏。
下载地址:
我用夸克网盘分享了「09 ke64」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https: https: http:
10 killwarmup 专杀脚本
warmup挖矿病毒说明:
1、截止目前数据了解warmup,只通过Linux感染,获取主机做挖矿,没有发现window感染,
2、通过获取Linux主机,暴力破解其他Linux或者window账号密码,达到获取主机权限目的,也就是目前反馈有终端或者服务器账号密码被获,基本因为暴力破解获得的。
ps -ef | grep /root/.warmup/warmup | grep -v grep | awk '{print $2}'| xargs kill -9 rm -rf /root/.warmup/ touch /root/.warmup; chattr +ia /root/.warmup rm -rf /etc/alternatives/.warmup/ touch /etc/alternatives/.warmup; chattr +ia /etc/alternatives/.warmup rm -f /etc/cron.hourly/somescript /etc/cron.hourly/.somescript touch /etc/cron.hourly/somescript /etc/cron.hourly/.somescript; chattr +ia /etc/cron.hourly/somescript /etc/cron.hourly/.somescript rm -f /etc/xtab/somescript /etc/xtab/.somescript touch /etc/xtab/somescript /etc/xtab/.somescript; chattr +ia /etc/xtab/somescript /etc/xtab/.somescript; sed -i '/root \/sangfor\/edr\/agent\/bin\/eps_uninstall\.sh/d' /etc/crontab
下载地址:
我用夸克网盘分享了「10 killwarmup 专杀脚本」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https:
11 LinuxCheck
Linux应急处置/信息搜集/漏洞检测工具,支持基础配置/网络流量/任务计划/环境变量/用户信息/Services/bash/恶意文件/内核Rootkit/SSH/Webshell/挖矿文件/挖矿进程/供应链/服务器风险等13类70+项检查
功能
基础配置检查
网络/流量检查
ifconfig
网络流量
端口监听
对外开放端口
网络连接
TCP连接状态
路由表
路由转发
DNS Server
ARP
网卡混杂模式检查
iptables 防火墙
任务计划检查
当前用户任务计划
/etc/系统任务计划
任务计划文件创建时间
crontab 后门排查
环境变量检查
env
path
LD_PRELOAD
LD_ELF_PRELOAD
LD_AOUT_PRELOAD
PROMPT_COMMAND
LD_LIBRARY_PATH
ld.so.preload
用户信息检查
可登陆用户
passwd文件修改日期
sudoers
登录信息(w/last/lastlog)
历史登陆ip
Services 检查
SystemD运行服务
SystemD服务创建时间
bash检查
History
History命令审计
/etc/profile
$HOME/.profile
/etc/rc.local
~/.bash_profile
~/.bashrc
bash反弹shell
文件检查
...隐藏文件
系统文件修改时间检测
临时文件检查(/tmp /var/tmp /dev/shm)
alias
suid特殊权限检查
进程存在文件未找到
近七天文件改动 mtime
近七天文件改动 ctime
大文件>200mb
敏感文件审计(nmap/sqlmap/ew/frp/nps等黑客常用工具)
可疑黑客文件(黑客上传的wget/curl等程序,或者将恶意程序改成正常软件例如nps文件改为mysql)
内核Rootkit 检查
lsmod 可疑模块
内核符号表检查
rootkit hunter 检查
rootkit .ko模块检查
SSH检查
SSH 爆破
SSHD 检测
SSH 后门配置
SSH inetd后门检查
SSH key
Webshell 检查
php webshell检查
jsp webshell检查
挖矿文件/进程检查
挖矿文件检查
挖矿进程检查
WorkMiner检测
Ntpclient检测
供应链投毒检查
服务器风险检查
下载地址:
我用夸克网盘分享了「11 LinuxCheck」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https: https:
12 NirLauncher
nirlauncher中文版是一款综合型的工具集合体,容量小但是功能强大,集合了常规会使用的密码恢复插件,网络监控工具、音频和视频相关的工具、桌面工具、磁盘清理工具等。
下载地址:
我用夸克网盘分享了「12 NirLauncher」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https: http:
13 PC Hunter
PCHunter是一款知名的Windows系统底层反内核工具,系统信息检测工具、手工杀毒工具、系统安全辅助工具。这款ARK工具有内核级驱动检测、内核对象劫持、Hook 、MBR Rootkit、文件管理、进程管理、启动项管理、注册表管理、服务管理、驱动模块、网络管理、系统内核查看、应用层钩子、系统修复等功能。
PC Hunter 目前实现了如下功能:
支持的系统版本:
下载地址:
我用夸克网盘分享了「13 PC Hunter」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https:
14 PowerTool
PowerTool是一款免费的系统分析,手动杀毒工具。这款内核级的手动杀毒辅助工具,能帮助你找出病毒木马在你的电脑中动过的手脚,并去除病毒设下的机关。目前具备以下功能:系统修复、进程管理、内核模块、内核相关、钩子、应用层、文件、注册表、离线分析、启动项、系统服务、网络链接、漏洞修复等。
下载地址:
我用夸克网盘分享了「14 PowerTool」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https:
15 Process Monitor
Process Monitor汉化版是一款微软旗下Sysinternals公司出品的系统进程监视软件的进程监视器,ProcessMonitor最新版可以查看实时系统进程事件,注册表和进程/线程活动.它结合了两个旧版Sysinternals实用工具(Filemon和Regmon)的功能,并添加了广泛使用的增强功能列表,包括丰富的非破坏性筛选功能,全面的进程事件属性(如会话ID和用户名,详细的进程信息,具有针对每个操作集成符号支持的完整线程堆栈支持,同时记录到文件等).它独特的强大功能会使进程监视器成为系统故障排除和恶意软件搜寻工具包中的核心实用工具.
下载地址:
我用夸克网盘分享了「15 Process Monitor」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https:
16 ProcessExplorer
由Sysinternals开发的Windows系统和应用程序监视工具,已并入微软旗下。不仅结合了Filemon(文件监视器)和Regmon(注册表监视器)两个工具的功能,还增加了多项重要的增强功能。
下载地址:
我用夸克网盘分享了「16 ProcessExplorer」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https:
17 Screaming Frog Log File Analyser
一款支持跨平台使用日志文件分析软件。日志分析工具哪款好用呢?那么不妨来看看这款Screaming Frog Log File Analyser 。该款工具允许用户将原始访问日志文件拖放到软件界面中进行分析,能够智能识别大型和慢速网址,找出未抓取和孤立的网址。
下载地址:
我用夸克网盘分享了「17 Screaming Frog Log File Analyser」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https:
18 Sysinternals Suite
微软发布的一套非常强大的免费工具程序集,Sysinternals Suite一共包括将近70个windows工具,包含大量实用优秀的绿色软件,用于系统故障排除。
下载地址:
我用夸克网盘分享了「18 Sysinternals Suite」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5 倍速,支持电视投屏。 链接:https: https:
19 Team · IDE
Team IDE 集成MySql、Oracle、金仓、达梦、神通等数据库、SSH、FTP、Redis、Zookeeper、Kafka、Elasticsearch、小工具等管理工具
