360系统急救箱
PC端360系统急救箱支持查杀电脑恶性病毒,包含驱动型及MBR型,同时支持扫描清除安卓手机顽固木马。
下载地址:https://weishi.360.cn/jijiuxiang/index.html
360星图
一款非常好用的网站访问日志分析工具,可以有效识别Web漏洞攻击、CC攻击、恶意爬虫扫描、异常访问等行为。一键自动化分析,输出安全分析报告,支持iis/apache/nginx日志,支持自定义格式。但是,支持的日志类型较少,只能用于小网站日志分析,对于数据量很大的网站不适合。
Autoruns
Autoruns是一款由微软旗下Sysinternals公司出品的专业系统启动项管理工具,这款工具小巧免费,单执行文件,利用它可以查看管理包含系统和任何软件的自动启动项位置的所有信息。它既能显示 Windows 启动或登录时自动运行的程序,又允许用户自定义禁用或删除它们,例如,那些在"启动"文件夹和注册表相关键值中的程序。此外它还可以管理包括:资源管理器右键扩展(如右键菜单项目)、IE浏览器插件(如工具栏扩展)、系统服务和驱动、计划任务、镜像劫持等自启动程序类目的所有详细,进行验证分析操作。
AvbTool专杀⼯具
亚信安全Avbtool专杀工具
D盾
『D盾_防火墙』专为IIS设计的一个主动防御的保护软件,以内外保护的方式防止网站和服务器给入侵,在正常运行各类网站的情况下,越少的功能,服务器越安全的理念而设计!限制了常见的入侵方法,让服务器更安全!
HTTP Logs Viewer
HTTP Logs Viewer是一款强大的日志分析工具,可以轻松过滤和分析Apache/IIS/nginx日志文件。内置搜索和过滤功能,还支持自定义日志格式。
iDefender(冰盾 · 主动防御系统)
冰盾 · 主动防御系统是一款基于iMonitorSDK实现,为专业人士打造的终端、主机主动防御系统。使用冰盾可以帮助您拦截漏洞攻击、抵制流氓软件、保护电脑安全、提高工作效率。
下载地址:https://github.com/wecooperate/iDefender
iMonitor(冰镜 - 终端行为分析系统)
iMonitor(冰镜 - 终端行为分析系统)是一款基于iMonitorSDK的终端行为监控分析软件。提供了对进程、文件、注册表、网络等系统行为的监控。支持扩展和脚本,可以轻易定制和添加更多功能。可以用于病毒分析、软件逆向、入侵检测,EDR等。
下载地址:https://github.com/wecooperate/iMonitor/releases
ke64
内核工具,使用了Windows未公开的API,使用了更底层获取方法,有较强的操作,让顽固软件或病毒无处可藏。
下载地址:http://www.kesafe.cn/index.html#
killwarmup 专杀脚本
warmup挖矿病毒说明:
- 截止目前数据了解warmup,只通过Linux感染,获取主机做挖矿,没有发现Windows感染
- 通过获取Linux主机,暴力破解其他Linux或者Windows账号密码,达到获取主机权限目的,也就是目前反馈有终端或者服务器账号密码被获,基本因为暴力破解获得的
ps -ef | grep /root/.warmup/warmup | grep -v grep | awk '{print $2}'| xargs kill -9
rm -rf /root/.warmup/
touch /root/.warmup; chattr +ia /root/.warmup
rm -rf /etc/alternatives/.warmup/
touch /etc/alternatives/.warmup; chattr +ia /etc/alternatives/.warmup
rm -f /etc/cron.hourly/somescript /etc/cron.hourly/.somescript
touch /etc/cron.hourly/somescript /etc/cron.hourly/.somescript; chattr +ia /etc/cron.hourly/somescript /etc/cron.hourly/.somescript
rm -f /etc/xtab/somescript /etc/xtab/.somescript
touch /etc/xtab/somescript /etc/xtab/.somescript; chattr +ia /etc/xtab/somescript /etc/xtab/.somescript;
sed -i '/root \/sangfor\/edr\/agent\/bin\/eps_uninstall\.sh/d' /etc/crontab
LinuxCheck
Linux应急处置/信息搜集/漏洞检测工具,支持基础配置/网络流量/任务计划/环境变量/用户信息/Services/bash/恶意文件/内核Rootkit/SSH/Webshell/挖矿文件/挖矿进程/供应链/服务器风险等13类70+项检查。
下载地址:https://github.com/al0ne/LinuxCheck
功能
- 基础配置检查
- 系统配置改动检查
- 系统信息(IP地址/用户/开机时间/系统版本/Hostname/服务器SN)
- CPU使用率
- 登录用户信息
- CPU TOP 15
- 内存 TOP 15
- 磁盘剩余空间检查
- 硬盘挂载
- 常用软件检查
- /etc/hots
- 网络/流量检查
- ifconfig
- 网络流量
- 端口监听
- 对外开放端口
- 网络连接
- TCP连接状态
- 路由表
- 路由转发
- DNS Server
- ARP
- 网卡混杂模式检查
- iptables 防火墙
- 任务计划检查
- 当前用户任务计划
- /etc/系统任务计划
- 任务计划文件创建时间
- crontab 后门排查
- 环境变量检查
- env
- path
- LD_PRELOAD
- LD_ELF_PRELOAD
- LD_AOUT_PRELOAD
- PROMPT_COMMAND
- LD_LIBRARY_PATH
- ld.so.preload
- 用户信息检查
- 可登陆用户
- passwd文件修改日期
- sudoers
- 登录信息(w/last/lastlog)
- 历史登陆ip
- Services 检查
- SystemD运行服务
- SystemD服务创建时间
- bash检查
- History
- History命令审计
- /etc/profile
- $HOME/.profile
- /etc/rc.local
- ~/.bash_profile
- ~/.bashrc
- bash反弹shell
- 文件检查
- ...隐藏文件
- 系统文件修改时间检测
- 临时文件检查(/tmp /var/tmp /dev/shm)
- alias
- suid特殊权限检查
- 进程存在文件未找到
- 近七天文件改动 mtime
- 近七天文件改动 ctime
- 大文件>200mb
- 敏感文件审计(nmap/sqlmap/ew/frp/nps等黑客常用工具)
- 可疑黑客文件(黑客上传的wget/curl等程序,或者将恶意程序改成正常软件例如nps文件改为mysql)
- 内核Rootkit 检查
- lsmod 可疑模块
- 内核符号表检查
- rootkit hunter 检查
- rootkit .ko模块检查
- SSH检查
- SSH 爆破
- SSHD 检测
- SSH 后门配置
- SSH inetd后门检查
- SSH key
- Webshell 检查
- php webshell检查
- jsp webshell检查
- 挖矿文件/进程检查
- 挖矿文件检查
- 挖矿进程检查
- WorkMiner检测
- Ntpclient检测
- 供应链投毒检查
- Python PIP 投毒检查
- 服务器风险检查
- Redis弱密码检测
下载地址:https://github.com/al0ne/LinuxCheck
NirLauncher
nirlauncher中文版是一款综合型的工具集合体,容量小但是功能强大,集合了常规会使用的密码恢复插件,网络监控工具、音频和视频相关的工具、桌面工具、磁盘清理工具等。
下载地址:http://launcher.nirsoft.net/
PC Hunter
PCHunter是一款知名的Windows系统底层反内核工具,系统信息检测工具、手工杀毒工具、系统安全辅助工具。这款ARK工具有内核级驱动检测、内核对象劫持、Hook、MBR Rootkit、文件管理、进程管理、启动项管理、注册表管理、服务管理、驱动模块、网络管理、系统内核查看、应用层钩子、系统修复等功能。
PowerTool
PowerTool是一款免费的系统分析,手动杀毒工具。这款内核级的手动杀毒辅助工具,能帮助你找出病毒木马在你的电脑中动过的手脚,并去除病毒设下的机关。目前具备以下功能:系统修复、进程管理、内核模块、内核相关、钩子、应用层、文件、注册表、离线分析、启动项、系统服务、网络链接、漏洞修复等。
Process Monitor
Process Monitor汉化版是一款微软旗下Sysinternals公司出品的系统进程监视软件的进程监视器,ProcessMonitor最新版可以查看实时系统进程事件,注册表和进程/线程活动。
它结合了两个旧版Sysinternals实用工具(Filemon和Regmon)的功能,并添加了广泛使用的增强功能列表,包括丰富的非破坏性筛选功能,全面的进程事件属性(如会话ID和用户名,详细的进程信息,具有针对每个操作集成符号支持的完整线程堆栈支持,同时记录到文件等)。
它独特的强大功能会使进程监视器成为系统故障排除和恶意软件搜寻工具包中的核心实用工具。
ProcessExplorer
由Sysinternals开发的Windows系统和应用程序监视工具,已并入微软旗下。不仅结合了Filemon(文件监视器)和Regmon(注册表监视器)两个工具的功能,还增加了多项重要的增强功能。
Screaming Frog Log File Analyser
一款支持跨平台使用日志文件分析软件。日志分析工具哪款好用呢?那么不妨来看看这款Screaming Frog Log File Analyser 。该款工具允许用户将原始访问日志文件拖放到软件界面中进行分析,能够智能识别大型和慢速网址,找出未抓取和孤立的网址。
Sysinternals Suite
微软发布的一套非常强大的免费工具程序集,Sysinternals Suite一共包括将近70个Windows工具,包含大量实用优秀的绿色软件,用于系统故障排除。
下载地址:
https://learn.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite
Team · IDE
Team IDE 集成MySql、Oracle、金仓、达梦、神通等数据库、SSH、FTP、Redis、Zookeeper、Kafka、Elasticsearch、小工具等管理工具。
下载地址:https://github.com/team-ide/teamide/releases
YDArk
免费的64位Windows系统内核辅助工具,主要支持系统动作分析、系统内核、应用层钩子、内核钩子扫描、文件管理、进程管理、启动项管理、注册表管理、服务管理、驱动模块、网络管理、系统杂项修复等。可用于分析系统底层信息,解决系统问题。
下载地址:https://github.com/ClownQq/YDArk/blob/master/YDArk.exe
河马
河马在线查杀,是河马查杀客户端的在线版本,最新的检测能力均会首先集成到在线版上;河马查杀自主开发的Webshell检测引擎拥有完整的知识产权,采用静态分析、动态分析、特征匹配、机器学习多种技术检测webshell。
下载地址:https://www.shellpub.com/?download=1
火麒麟 FireKylin
收集操作系统各项痕迹,支持Windows和Linux痕迹收集。作用是为分析研判安全事件提供操作系统数据,让任何有上机排查经验和无上机排查经验的人都可以进行上机排查安全事件。
下载地址:https://github.com/MountCloud/FireKylin/releases
火绒安全软件5.0
拥有自主产权的火绒反病毒引擎,多层次主动防御系统,基于独特的"虚拟沙盒"技术,可以深度解析各类恶意代码的本质特征,有效地解决加密和混淆等代码级恶意对抗。
下载地址:https://www.huorong.cn/person5.html?v=1
火绒剑
从火绒安全软件分离出来的一个很实用的功能,软件能够轻松的帮助用户分析电脑的安全情况而且火绒剑还可以对全面了解系统中所运行的程序是否存在恶意行为,给用户一个更好的使用环境。
EveryThing
Everything中文版是一款小巧免费的文件搜索工具的文件搜索利器,Everything最新版搜索文件速度之快令人震惊,百G硬盘几十万个文件,可在几秒钟之内完成NTFS索引;文件名称搜索瞬间呈现结果,关键词高亮。
索引数据库,实时重建变化,分享文件索引,支持文件名称通配符,正则表达式刷选,可通过HTTP或FTP服务器搜索结果。
光速搜索,盛大开发的高效率快速搜索本机磁盘内的文件的工具,远远的将Windows系统自带的搜索甩在脑后。
闪电搜索,可以对90种搜索方式,可以通过20个知名搜索引擎搜索信息。并且可以把搜索结果通过网页形式保存起来。并且可以将快捷方式发送到桌面,开始菜单。软件内提供导出收藏夹功能,可将所有的快捷方式合并成一张网页,最新增加了简洁界面,可以依附在屏幕边上,更加方便。
下载地址:https://www.voidtools.com/downloads/