美國服務(wù)器Windows可用的工具也是非常之多，今天美聯(lián)科技小編整理了一些美國服務(wù)器Windows系統(tǒng)常見并且實用的PE工具、調(diào)試反匯編工具、應(yīng)急工具、流量分析工具和Web Shell查殺工具，希望可以幫助到一些安全行業(yè)的美國服務(wù)器初學(xué)用戶。

一、PE工具篇

PEiD

一款著名的PE偵殼工具，可以檢測PE常見的一些殼，但是目前已經(jīng)無法從官網(wǎng)獲得。

EXEInfoPE

PE偵殼工具，PEiD的加強(qiáng)版，可以查看EXE/DLL文件編譯器信息、是否加殼、入口點(diǎn)地址、輸出表/輸入表等等PE信息。

DetectIt Easy

開源的PE偵殼工具，是一個跨平臺的應(yīng)用程序，有Windows、Linux、Mac OS多個可用版本。

CFFExplorer

優(yōu)秀的PE32 &PE64編輯工具，可以方便的查看及編輯PE文件，完全支持.NET文件格式。

StudyPE

PE32 & PE64 查看分析集成工具，具有強(qiáng)大的PE結(jié)構(gòu)處理分析功能，在查殼方面功能略顯薄弱。

二、調(diào)試/反編譯工具篇

OllyDbg

Ring3級調(diào)試器，支持插件擴(kuò)展功能，唯一不足的是OD是一個32位調(diào)試器，不支持調(diào)試64位程序。

WinDbg

支持Windows平臺，用戶態(tài)和內(nèi)核態(tài)的調(diào)試器，有圖形界面和命令行兩種調(diào)試方式，具有強(qiáng)大的內(nèi)核調(diào)試功能。

x32dbg/x64dbg

開源的調(diào)試器，從界面和操作使用和OD相似，支持32位和64位應(yīng)用程序的調(diào)試，解決了OD對64位應(yīng)用程序調(diào)試上的缺陷。

dnSpy

針對.NET程序的開源逆向程序的工具，包含了反匯編器，調(diào)試器和匯編編輯器等功能組件，支持插件功能。

IDAPro

全稱Interactive Disassembler Professional，交互式反匯編器專業(yè)版，目前最受歡迎的靜態(tài)反編譯工具。

VB Decompiler

針對Visual Basic 5.0/6.0開發(fā)的程序的反編譯器。

三、應(yīng)急工具篇

1、日志相關(guān)

Sysmon

Windows Sysinternals出品的一款Sysinternals系列中的工具，它以系統(tǒng)服務(wù)和設(shè)備驅(qū)動程序的方法安裝在系統(tǒng)上，并保持常駐性。用來監(jiān)視和記錄系統(tǒng)活動，并記錄到windows事件日志，可以提供有關(guān)進(jìn)程創(chuàng)建，網(wǎng)絡(luò)鏈接和文件創(chuàng)建時間更改的詳細(xì)信息。

LastActivityView

電腦操作記錄查看器，直接調(diào)用系統(tǒng)日志，顯示安裝軟件、系統(tǒng)啟動、關(guān)機(jī)、網(wǎng)絡(luò)連接、執(zhí)行exe 的發(fā)生時間和路徑。

2、注冊表相關(guān)

Regshot

注冊表比較工具，通過抓取兩次注冊表快速比較得出兩次注冊表的不同之處。

Autoruns

基于Windows平臺的自動運(yùn)行程序的管理工具，可以控制登錄時的加載程序、驅(qū)動程序加載、服務(wù)啟動、任務(wù)計劃等 Windows 中各種方面的啟動項。

3、進(jìn)程相關(guān)

Process Hacker

一款功能豐富的開源系統(tǒng)進(jìn)程輔助工具，可以方便的查看進(jìn)程的運(yùn)行情況、內(nèi)存以及模塊信息，還可以對進(jìn)程進(jìn)行管理。

Power Tool

免費(fèi)的進(jìn)程管理器，可以查看文件或文件夾被占用的情況，內(nèi)核模塊和驅(qū)動的查看管理，進(jìn)程模塊的內(nèi)存dump等工具。

Process Lasso

獨(dú)特的調(diào)試進(jìn)程級別的系統(tǒng)優(yōu)化工具，主要功能是基于其特別的算法動態(tài)調(diào)整各個進(jìn)程優(yōu)先級以實現(xiàn)為系統(tǒng)減負(fù)的目的。可以用來監(jiān)視進(jìn)程動作。

4、文件相關(guān)

Hash Tab

文件校驗工具，分為免費(fèi)個人版以及付費(fèi)版。下載安裝后可以通過查看文件屬性中的Hash Tab快速得到文件的哈希值，支持多種哈希算法。

Hash Checker

開源的文件校驗工具，安裝完成后可以通過文件屬性中的文件校驗快速得到文件的哈希值，支持右鍵菜單創(chuàng)建校驗文件功能和批量校驗功能。

Unlocker

右鍵擴(kuò)充工具，通過刪除文件和程序關(guān)聯(lián)的方式解除文件的占用，在解除占用時不會強(qiáng)制關(guān)閉占用文件進(jìn)程。

Everything

強(qiáng)大的Windows桌面搜索引擎，可以在NTFS卷上快速的根據(jù)名稱查找文件和目錄。

Winhex

十六進(jìn)制編輯器，在計算機(jī)取證，數(shù)據(jù)恢復(fù)，低級數(shù)據(jù)處理和IT安全領(lǐng)域非常有用。

Bin Diff

開源的二進(jìn)制文件對比工具，可幫助安全人員快速發(fā)現(xiàn)反匯編代碼中的差異和相似之處。支持x86、MIPS、ARM/AArch64、PowerPC等架構(gòu)進(jìn)行二進(jìn)制文件的對比。

Beyond Compare

由Scooter Software推出的文件比較工具，主要用于比較兩個文件夾或者文件并將差異以顏色標(biāo)記，比較的范圍包括目錄，文檔內(nèi)容等。

5、內(nèi)存相關(guān)

SfAntiBotPro

內(nèi)存檢索工具，可以根據(jù)輸入的字符串快速檢索計算機(jī)內(nèi)存，輸出包含該字符串的進(jìn)程信息，在進(jìn)行惡意域名檢測時有事半功倍的效果。

DumpIt

免安裝的Windows內(nèi)存鏡像取證工具，可以使用其輕松的將一個系統(tǒng)的完整內(nèi)存鏡像下來，并用于后續(xù)的調(diào)查取證工作。

6、設(shè)備監(jiān)控

USBLogView

USB設(shè)備監(jiān)控軟件，后臺運(yùn)行，可以記錄插入或拔出系統(tǒng)的任何USB的詳情信息。

7、集成工具

PC Hunter

驅(qū)動級的系統(tǒng)維護(hù)工具，能夠查看各種Windows的各類底層系統(tǒng)信息，包括進(jìn)程、驅(qū)動模塊、內(nèi)核、內(nèi)核鉤子、應(yīng)用層鉤子，網(wǎng)絡(luò)、注冊表、文件、啟動項、系統(tǒng)雜項、電腦體檢等。

Malware Defender

HIPS主機(jī)入侵防御系統(tǒng)軟件，用戶可以編寫規(guī)則來防范病毒、木馬的侵害。另外，Malware Defender提供了很多有效的工具來檢測和刪除已經(jīng)安裝在美國服務(wù)器系統(tǒng)中的惡意軟件。

火絨劍

用于分析、處理惡意程序的安全工具軟件，提供了“程序行為監(jiān)控”、“進(jìn)程管理”、“文件管理”、“注冊表管理”、“系統(tǒng)啟動項管理”、”內(nèi)核程序管理“、“代碼鉤子掃描”七大功能。

四、流量分析工具篇

WireShark

網(wǎng)絡(luò)封包分析工具，可以幫助用戶深入分析網(wǎng)絡(luò)協(xié)議，涵蓋上百種協(xié)議以及各類主要平臺，通過GUI或TTY-mode瀏覽數(shù)據(jù)。

Fiddler

C#編寫的http抓包改包工具，相較wireshark更加輕量級，在http和https數(shù)據(jù)包的抓取上更加專業(yè)。還能設(shè)置斷點(diǎn)，修改請求和響應(yīng)的數(shù)據(jù)，模擬弱網(wǎng)絡(luò)環(huán)境，支持插件拓展。

Microsoft Network Monitor

只支持Windows平臺的網(wǎng)絡(luò)數(shù)據(jù)分析工具，提供了一個專業(yè)的網(wǎng)路實時流量圖形界面，擁有識別和監(jiān)控超過300種網(wǎng)絡(luò)協(xié)議的能力。

Capsa Packet Sniffer

網(wǎng)絡(luò)分析工具，用于網(wǎng)絡(luò)監(jiān)控、故障排除和網(wǎng)絡(luò)診斷等功能。

Network Miner

支持Windows平臺的網(wǎng)絡(luò)取證分析工具，通過嗅探或者分析PCAP文件可以偵測到操作系統(tǒng)，主機(jī)名和開放的網(wǎng)絡(luò)端口主機(jī)。

Angry IP Scanner

開源的網(wǎng)絡(luò)掃描儀，支持Linux，Windows和Mac OS X平臺，可以在最短的時間內(nèi)掃描遠(yuǎn)端主機(jī)IP運(yùn)作情況，包括主機(jī)名，目前開放的端口和IP的運(yùn)作情況。

五、Web Shell查殺工具篇

D盾

D盾是一個專為IIS設(shè)計的主動防御保護(hù)軟件，有一句話免疫，主動后門攔截，SESSION保護(hù)，防WEB嗅探，防CC，防篡改，注入防御，防XSS，防提權(quán)，上傳防御，未知0day防御，異形腳本防御等功能，以內(nèi)外保護(hù)的方式防止網(wǎng)站和美國服務(wù)器被入侵。

Web Shell Killer

Web Shell Killer是個Web后門專殺工具，不僅支持Web shell掃描，還支持暗鏈掃描。該工具將傳統(tǒng)的技術(shù)與人工智能技術(shù)相結(jié)合、靜態(tài)掃描和動態(tài)分析相結(jié)合，更精準(zhǔn)的檢測出Web網(wǎng)站已知和未知的后門文件。

關(guān)注美聯(lián)科技，關(guān)注更多IDC資訊！