《工欲善其事,必先利其器》。近日,深信服安全团队整理了一些常用的PE工具、调试反汇编工具、应急工具、流量分析工具和WebShell查杀工具,希望对一些安全行业的初学者有所帮助。PEToolsPEiD是一款比较知名的PE壳检测工具,可以检测一些常见的PE壳,但是官网目前无法获取:EXEInfoPEPE壳检测工具,PEiD的加强版,可以查看EXE/DLL文件的编译信息,是否加壳,入口点地址,输出表/输入表等PE信息:下载地址:http://www.exeinfo.xn.pl/Det??ectItEasy,开源PE检测工具,跨平台应用Windows、Linux、MacOS多个版本:下载地址:http://ntinfo.biz/index.htmlCFFExplorer是一款优秀的PE32&PE64编辑工具,可以轻松查看和编辑PE文件。完全支持.NET文件格式:下载地址:https://ntcore.com/?page_id=388StudyPEPE32&PE64视图分析集成工具,具有强大的PE结构处理分析功能,shell检查稍弱:下载地址:https://bbs.pediy.com/thread-246459-1.htmDebugging/DecompilationToolsOllyDbgRinglevel3调试器,支持插件扩展功能,唯一不足的是OD是32位调试器,不支持64位调试程序。官方给出的原程序没有任何插件。需要的童鞋可以在五爱破解论坛自行搜索:下载地址:http://www.ollydbg.de/WinDbg支持Windows平台,用户态和内核态调试器,有两种调试方式:图形界面和命令行。其强大的内核调试功能收获了众多粉丝:下载地址:https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/debugger-download-toolsx32dbg/x64dbg一个开源的调试工具,类似于OD在接口和操作方面,支持32位和64位应用程序的调试。解决OD调试64位应用程序的缺陷:下载地址:https://x64dbg.com/#startdnSpy一个开源的.NET程序逆向程序工具。包含反汇编器、调试器、汇编编辑器等功能组件,支持插件功能:下载地址:https://github.com/0xd4d/dnSpyIDAPro全称:InteractiveDisassemblerProfessional,交互式反汇编器专业版,目前最好的静态VBDecompiler反编译工具是很多安全专业人士的首选:下载链接:https://www.hex-rays.com/products/ida/VBDecompiler针对VisualBasic5.0/6.0开发程序的反编译器:下载链接:https://www.vb-decompiler.org/products/cn.htm应急工具篇日志相关SysmonWindowsSysinternalsSysinternals出品的Sysinternals系列中的一个工具。它作为系统服务和设备驱动程序安装在系统上并保持常驻。用于监控和记录系统活动,并记录到windows事件日志中,可以提供进程创建、网络链接和文件创建时间变化的详细信息:下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmonLastActivityView是一个电脑操作记录查看器,直接调用系统日志显示软件安装、系统启动、关机、网络连接、exe执行的时间和路径:下载地址:http://www.nirsoft.net/utils/computer_activity_view.htmlRegistry相关的Regshot注册表对比工具,通过抓取两个注册表快速比较两个注册表的区别:下载地址:https://sourceforge.net/projects/regshot/Autoruns是一个管理工具基于Windows的自动运行程序。可以控制登录时加载程序、驱动加载、服务启动、任务调度等各个方面的Windows启动项:下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/autorunsprocess相关ProcessHacker是一款功能丰富的开源系统进程辅助工具,可以方便的查看进程的运行状态、内存和模块信息,还可以对进程进行管理:下载地址:https://processhacker.sourceforge.io/PowerTool一免费的进程管理器,可以解锁占用文件的进程,查看文件或文件夹的占用状态,查看和管理内核模块和驱动程序,进程模块的内存转储等工具:下载地址:https:///www.portablesoft.org/ProcessLasso是一个独特的调试进程级系统优化工具。它的主要作用是根据其特殊的算法动态调整各个进程的优先级,以减轻系统的负担。可用于监控进程动作:下载地址:https://bitsum.com/文件相关的HashTab文件验证工具,分为免费个人版和付费版。下载安装后,通过查看文件属性中的HashTab,可以快速获取文件的哈希值。支持多种哈希算法:下载地址:http://implbits.com/products/hashtab/HashChecker,一款开源的文件校验工具,安装完成后,可以通过文件校验快速获取文件的哈希值在文件属性中。支持右键菜单创建验证文件功能和批量验证功能:下载地址:http://code.kliu.org/hashcheck/Unlocker是一款通过删除文件之间的关联来解除文件占用的右键扩展工具和程序。未被占用时,不会强行关闭被占用文件的进程:下载地址:http://emptyloop.com/unlocker/Everything强大的Windows桌面搜索引擎,可以根据NTFS卷上的名称快速查找文件和目录:下载地址:https://www.voidtools.com/zh-cn/Winhex是一个优秀的十六进制编辑器,在计算机取证、数据恢复、低级数据处理和IT安全领域非常有用:下载地址:https://www.x-ways.net/winhex/BinDiff是一个开源的二进制文件比较工具,可以帮助安全人员快速找到反汇编代码的异同点。支持x86、MIPS、ARM/AArch64、PowerPC等架构的二进制文件对比:下载地址:https://www.zynamics.com/software.htmlBeyondCompare是ScooterSoftware推出的一款文件对比工具。它主要用于比较两个文件夹或文件,并用颜色标记差异。比对范围包括目录、文件内容等:下载地址:http://www.beyondcompare.cc/xiazai.html内存相关的SfAntiBotPro内存检索工具,可以根据输入的字符串快速检索电脑内存,并输出包含该字符串的进程信息,对检测恶意域名有事半功倍的效果:下载地址:(32位)http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z(64位)http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7zDump是一款免安装的Windows内存镜像取证工具,可以方便的将一个系统的完整内存镜像下来,用于后续的排查和证据收集:下载地址:https://my.comae.com/tools设备监控USBLogView是一款后台运行的USB设备监控软件,可以记录任何USB插拔系统的详细信息:下载地址:https://www.nirsoft.net/utils/usb_log_view.html集成工具PCHunter是一款驱动级系统维护工具,可以查看各种Windows各种底层系统信息,包括进程、驱动模块、Kernel、内核钩子、应用层钩子、网络、注册表、文件、启动项、系统杂项、电脑体检等:下载地址:http://www.xuetr.com/MalwareDefender是一款HIPS(主机入侵防御系统)软件,用户可以自己编写规则来防止病毒和木马。此外,MalwareDefender提供了很多有效的工具来检测和删除已经安装在您的计算机系统中的恶意软件:下载地址:https://labs.♂.cn/malwaredefender/TinderSword用于分析,用于处理的安全工具软件恶意程序,提供“程序行为监控”、“进程管理”、“文件管理”、“注册表管理”、“系统启动项管理”、“内核程序管理”、“代码钩子扫描”七大功能:下载地址:(火绒剑独立版,不支持win8.1以上系统)down4.huorong.cn/hrsword.exe流量分析工具WireShark,一款网络数据包分析工具,可以帮助用户深入分析网络协议,涵盖数百种协议和各种主流平台。通过GUI或TTY方式浏览数据:下载地址:wireshark.org/download.htmlFiddler是一款用C#编写的http抓包修改工具,比wireshark更轻量级,抓取http、https数据包更专业。还可以设置断点,修改请求和响应数据,模拟弱网环境。支持插件扩展:下载地址:https://www.telerik.com/download/fiddlerMicrosoftNetworkMonitor仅支持Windows平台的网络数据分析工具,提供专业的网络实时流量图形界面,拥有300多个识别和监控类型网络协议能力:下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=4865CapsaPacketSniffer网络分析工具,用于网络监控、故障排除和网络诊断其他功能:下载地址:https://www.colaso??ft.com/capsa-free/NetworkMiner支持Windows平台的网络取证分析工具。通过嗅探或分析PCAP文件,可以检测到操作系统、主机名和开放网口的主机:下载地址:https://sourceforge.net/projects/networkminer/files/networkminer/AngryIPScanner这是一个开源的网络扫描器支持Linux、Windows和MacOSX平台,能在最短时间内扫描到远程主机IP运行状态,包括主机名、当前开放端口和IP运行状态:下载地址:https://angryip.orgWebShell查杀工具一文D-shieldD-shield是一款专门针对IIS设计的主动防御保护软件,有一句话免疫,主动后门拦截,会话保护,防WEB嗅探,防CC,防篡改,注入防御,防XSS,反权限提升、上传防御、未知0day防御、外星脚本防御等功能,通过内外防护手段防止网站和服务器被黑。下载地址:http://www.d99net.net/WebShellKillerWebShellKiller是一款网页后门查杀工具,不仅支持webshel??l扫描,还支持暗链接扫描。本工具结合传统技术与人工智能技术,静态扫描和动态分析,更准确地检测网站已知和未知后门文件:下载地址:(Windows平台)https://edr.sangfor.com.cn/tool/WebShellKillerTool.zip(Linux平台)http://edr.sangfor.com.cn/api/download/WebShellKillerForLinux.tar.gzWEBDIR+OnlineWebShellScanner:链接地址:https://scanner.baidu.com/#/pages/introWebShellDetectorOnlineWebShellScanner:链接地址:http://www.shelldetector.comWEBSHELL.PUB在线WebShellScanner:下载链接:http://www.shellpub.com
