首页 > 其他分享 >应急响应-工具篇

应急响应-工具篇

时间:2024-05-04 21:56:33浏览次数:25  
标签:文件 检查 etc 系统 响应 https 工具 应急

360系统急救箱

PC端360系统急救箱支持查杀电脑恶性病毒,包含驱动型及MBR型,同时支持扫描清除安卓手机顽固木马。
下载地址:https://weishi.360.cn/jijiuxiang/index.html

360星图

一款非常好用的网站访问日志分析工具,可以有效识别Web漏洞攻击、CC攻击、恶意爬虫扫描、异常访问等行为。一键自动化分析,输出安全分析报告,支持iis/apache/nginx日志,支持自定义格式。但是,支持的日志类型较少,只能用于小网站日志分析,对于数据量很大的网站不适合。

Autoruns

Autoruns是一款由微软旗下Sysinternals公司出品的专业系统启动项管理工具,这款工具小巧免费,单执行文件,利用它可以查看管理包含系统和任何软件的自动启动项位置的所有信息。它既能显示 Windows 启动或登录时自动运行的程序,又允许用户自定义禁用或删除它们,例如,那些在"启动"文件夹和注册表相关键值中的程序。此外它还可以管理包括:资源管理器右键扩展(如右键菜单项目)、IE浏览器插件(如工具栏扩展)、系统服务和驱动、计划任务、镜像劫持等自启动程序类目的所有详细,进行验证分析操作。

AvbTool专杀⼯具

亚信安全Avbtool专杀工具

D盾

『D盾_防火墙』专为IIS设计的一个主动防御的保护软件,以内外保护的方式防止网站和服务器给入侵,在正常运行各类网站的情况下,越少的功能,服务器越安全的理念而设计!限制了常见的入侵方法,让服务器更安全!

HTTP Logs Viewer

HTTP Logs Viewer是一款强大的日志分析工具,可以轻松过滤和分析Apache/IIS/nginx日志文件。内置搜索和过滤功能,还支持自定义日志格式。

iDefender(冰盾 · 主动防御系统)

冰盾 · 主动防御系统是一款基于iMonitorSDK实现,为专业人士打造的终端、主机主动防御系统。使用冰盾可以帮助您拦截漏洞攻击、抵制流氓软件、保护电脑安全、提高工作效率。
下载地址:https://github.com/wecooperate/iDefender

iMonitor(冰镜 - 终端行为分析系统)

iMonitor(冰镜 - 终端行为分析系统)是一款基于iMonitorSDK的终端行为监控分析软件。提供了对进程、文件、注册表、网络等系统行为的监控。支持扩展和脚本,可以轻易定制和添加更多功能。可以用于病毒分析、软件逆向、入侵检测,EDR等。
下载地址:https://github.com/wecooperate/iMonitor/releases

ke64

内核工具,使用了Windows未公开的API,使用了更底层获取方法,有较强的操作,让顽固软件或病毒无处可藏。
下载地址:http://www.kesafe.cn/index.html#

killwarmup 专杀脚本

warmup挖矿病毒说明:

  1. 截止目前数据了解warmup,只通过Linux感染,获取主机做挖矿,没有发现Windows感染
  2. 通过获取Linux主机,暴力破解其他Linux或者Windows账号密码,达到获取主机权限目的,也就是目前反馈有终端或者服务器账号密码被获,基本因为暴力破解获得的
ps -ef | grep /root/.warmup/warmup | grep -v grep | awk '{print $2}'| xargs kill -9
rm -rf /root/.warmup/
touch /root/.warmup; chattr +ia /root/.warmup
rm -rf /etc/alternatives/.warmup/
touch /etc/alternatives/.warmup; chattr +ia /etc/alternatives/.warmup
rm -f /etc/cron.hourly/somescript /etc/cron.hourly/.somescript
touch /etc/cron.hourly/somescript /etc/cron.hourly/.somescript; chattr +ia /etc/cron.hourly/somescript /etc/cron.hourly/.somescript
rm -f /etc/xtab/somescript /etc/xtab/.somescript
touch /etc/xtab/somescript /etc/xtab/.somescript; chattr +ia /etc/xtab/somescript /etc/xtab/.somescript;
sed -i '/root \/sangfor\/edr\/agent\/bin\/eps_uninstall\.sh/d' /etc/crontab

LinuxCheck

Linux应急处置/信息搜集/漏洞检测工具,支持基础配置/网络流量/任务计划/环境变量/用户信息/Services/bash/恶意文件/内核Rootkit/SSH/Webshell/挖矿文件/挖矿进程/供应链/服务器风险等13类70+项检查。
下载地址:https://github.com/al0ne/LinuxCheck

功能

  • 基础配置检查
    • 系统配置改动检查
    • 系统信息(IP地址/用户/开机时间/系统版本/Hostname/服务器SN)
    • CPU使用率
    • 登录用户信息
    • CPU TOP 15
    • 内存 TOP 15
    • 磁盘剩余空间检查
    • 硬盘挂载
    • 常用软件检查
    • /etc/hots
  • 网络/流量检查
    • ifconfig
    • 网络流量
    • 端口监听
    • 对外开放端口
    • 网络连接
    • TCP连接状态
    • 路由表
    • 路由转发
    • DNS Server
    • ARP
    • 网卡混杂模式检查
    • iptables 防火墙
  • 任务计划检查
    • 当前用户任务计划
    • /etc/系统任务计划
    • 任务计划文件创建时间
    • crontab 后门排查
  • 环境变量检查
    • env
    • path
    • LD_PRELOAD
    • LD_ELF_PRELOAD
    • LD_AOUT_PRELOAD
    • PROMPT_COMMAND
    • LD_LIBRARY_PATH
    • ld.so.preload
  • 用户信息检查
    • 可登陆用户
    • passwd文件修改日期
    • sudoers
    • 登录信息(w/last/lastlog)
    • 历史登陆ip
  • Services 检查
    • SystemD运行服务
    • SystemD服务创建时间
  • bash检查
    • History
    • History命令审计
    • /etc/profile
    • $HOME/.profile
    • /etc/rc.local
    • ~/.bash_profile
    • ~/.bashrc
    • bash反弹shell
  • 文件检查
    • ...隐藏文件
    • 系统文件修改时间检测
    • 临时文件检查(/tmp /var/tmp /dev/shm)
    • alias
    • suid特殊权限检查
    • 进程存在文件未找到
    • 近七天文件改动 mtime
    • 近七天文件改动 ctime
    • 大文件>200mb
    • 敏感文件审计(nmap/sqlmap/ew/frp/nps等黑客常用工具)
    • 可疑黑客文件(黑客上传的wget/curl等程序,或者将恶意程序改成正常软件例如nps文件改为mysql)
  • 内核Rootkit 检查
    • lsmod 可疑模块
    • 内核符号表检查
    • rootkit hunter 检查
    • rootkit .ko模块检查
  • SSH检查
    • SSH 爆破
    • SSHD 检测
    • SSH 后门配置
    • SSH inetd后门检查
    • SSH key
  • Webshell 检查
    • php webshell检查
    • jsp webshell检查
  • 挖矿文件/进程检查
    • 挖矿文件检查
    • 挖矿进程检查
    • WorkMiner检测
    • Ntpclient检测
  • 供应链投毒检查
    • Python PIP 投毒检查
  • 服务器风险检查
    • Redis弱密码检测

下载地址:https://github.com/al0ne/LinuxCheck

NirLauncher

nirlauncher中文版是一款综合型的工具集合体,容量小但是功能强大,集合了常规会使用的密码恢复插件,网络监控工具、音频和视频相关的工具、桌面工具、磁盘清理工具等。
下载地址:http://launcher.nirsoft.net/

PC Hunter

PCHunter是一款知名的Windows系统底层反内核工具,系统信息检测工具、手工杀毒工具、系统安全辅助工具。这款ARK工具有内核级驱动检测、内核对象劫持、Hook、MBR Rootkit、文件管理、进程管理、启动项管理、注册表管理、服务管理、驱动模块、网络管理、系统内核查看、应用层钩子、系统修复等功能。

PowerTool

PowerTool是一款免费的系统分析,手动杀毒工具。这款内核级的手动杀毒辅助工具,能帮助你找出病毒木马在你的电脑中动过的手脚,并去除病毒设下的机关。目前具备以下功能:系统修复、进程管理、内核模块、内核相关、钩子、应用层、文件、注册表、离线分析、启动项、系统服务、网络链接、漏洞修复等。

Process Monitor

Process Monitor汉化版是一款微软旗下Sysinternals公司出品的系统进程监视软件的进程监视器,ProcessMonitor最新版可以查看实时系统进程事件,注册表和进程/线程活动。
它结合了两个旧版Sysinternals实用工具(Filemon和Regmon)的功能,并添加了广泛使用的增强功能列表,包括丰富的非破坏性筛选功能,全面的进程事件属性(如会话ID和用户名,详细的进程信息,具有针对每个操作集成符号支持的完整线程堆栈支持,同时记录到文件等)。
它独特的强大功能会使进程监视器成为系统故障排除和恶意软件搜寻工具包中的核心实用工具。

ProcessExplorer

由Sysinternals开发的Windows系统和应用程序监视工具,已并入微软旗下。不仅结合了Filemon(文件监视器)和Regmon(注册表监视器)两个工具的功能,还增加了多项重要的增强功能。

Screaming Frog Log File Analyser

一款支持跨平台使用日志文件分析软件。日志分析工具哪款好用呢?那么不妨来看看这款Screaming Frog Log File Analyser 。该款工具允许用户将原始访问日志文件拖放到软件界面中进行分析,能够智能识别大型和慢速网址,找出未抓取和孤立的网址。

Sysinternals Suite

微软发布的一套非常强大的免费工具程序集,Sysinternals Suite一共包括将近70个Windows工具,包含大量实用优秀的绿色软件,用于系统故障排除。
下载地址:
https://learn.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite

Team · IDE

Team IDE 集成MySql、Oracle、金仓、达梦、神通等数据库、SSH、FTP、Redis、Zookeeper、Kafka、Elasticsearch、小工具等管理工具。
下载地址:https://github.com/team-ide/teamide/releases

YDArk

免费的64位Windows系统内核辅助工具,主要支持系统动作分析、系统内核、应用层钩子、内核钩子扫描、文件管理、进程管理、启动项管理、注册表管理、服务管理、驱动模块、网络管理、系统杂项修复等。可用于分析系统底层信息,解决系统问题。
下载地址:https://github.com/ClownQq/YDArk/blob/master/YDArk.exe

河马

河马在线查杀,是河马查杀客户端的在线版本,最新的检测能力均会首先集成到在线版上;河马查杀自主开发的Webshell检测引擎拥有完整的知识产权,采用静态分析、动态分析、特征匹配、机器学习多种技术检测webshell。
下载地址:https://www.shellpub.com/?download=1

火麒麟 FireKylin

收集操作系统各项痕迹,支持Windows和Linux痕迹收集。作用是为分析研判安全事件提供操作系统数据,让任何有上机排查经验和无上机排查经验的人都可以进行上机排查安全事件。
下载地址:https://github.com/MountCloud/FireKylin/releases

火绒安全软件5.0

拥有自主产权的火绒反病毒引擎,多层次主动防御系统,基于独特的"虚拟沙盒"技术,可以深度解析各类恶意代码的本质特征,有效地解决加密和混淆等代码级恶意对抗。
下载地址:https://www.huorong.cn/person5.html?v=1

火绒剑

从火绒安全软件分离出来的一个很实用的功能,软件能够轻松的帮助用户分析电脑的安全情况而且火绒剑还可以对全面了解系统中所运行的程序是否存在恶意行为,给用户一个更好的使用环境。

EveryThing

Everything中文版是一款小巧免费的文件搜索工具的文件搜索利器,Everything最新版搜索文件速度之快令人震惊,百G硬盘几十万个文件,可在几秒钟之内完成NTFS索引;文件名称搜索瞬间呈现结果,关键词高亮。
索引数据库,实时重建变化,分享文件索引,支持文件名称通配符,正则表达式刷选,可通过HTTP或FTP服务器搜索结果。
光速搜索,盛大开发的高效率快速搜索本机磁盘内的文件的工具,远远的将Windows系统自带的搜索甩在脑后。
闪电搜索,可以对90种搜索方式,可以通过20个知名搜索引擎搜索信息。并且可以把搜索结果通过网页形式保存起来。并且可以将快捷方式发送到桌面,开始菜单。软件内提供导出收藏夹功能,可将所有的快捷方式合并成一张网页,最新增加了简洁界面,可以依附在屏幕边上,更加方便。
下载地址:https://www.voidtools.com/downloads/

标签:文件,检查,etc,系统,响应,https,工具,应急
From: https://www.cnblogs.com/NoCirc1e/p/18172769

相关文章

  • web日志取证分析工具
    工具简介此工具可从单一可疑线索作为调查起点,遍历所有可疑URL(CGI)和来源IP。下载地址https://security.tencent.com/index.php/opensource/detail/15使用方法PerlLogForensics.pl-filelogfile-websvr(nginx|httpd)[-ipip(ip,ip,ip)|-urlurl(url,url,url)]File:日志......
  • 内存取证-volatility工具的使用
    0x00volatility介绍Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具,可以用于windows,linux,macosx,android等系统内存取证。Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存......
  • 深入学习和理解Django视图层:处理请求与响应
    title:深入学习和理解Django视图层:处理请求与响应date:2024/5/417:47:55updated:2024/5/417:47:55categories:后端开发tags:Django请求处理响应生成模板渲染表单处理中间件异常处理第一章:Django框架概述1.1什么是Django?Django是一个高级的PythonWeb......
  • cryostat jvm 容器化环境安全的jfr管理工具
    cryostat属于一个jfr管理工具,由红帽团队开发,可以用来安全的管理容器环境中的jfr处理包含的工具operator 可以方便的集成到k8s,openshift中agent 可以实现cryostat发现以及jfr数据的推送grafanadatasource支持 数据grafanadatasource的一个插件,可以方便使用grafan......
  • hydra爆破工具
    hydra爆破工具命令详细:1、破解ssh:hydra-l用户名-p密码字典-t线程-vV-ensipsshhydra-l用户名-p密码字典-t线程-osave.log-vVipssh2、破解ftp:hydraipftp-l用户名-P密码字典-t线程(默认16)-vVhydraipftp-l用户名-P密码字典-ens-vV3......
  • 一键自动化博客发布工具,chrome和firfox详细配置
    blog-auto-publishing-tools博客自动发布工具现在已经可以同时支持chrome和firefox了。很多小伙伴可能对于如何进行配置和启动不是很了解,今天带给大家一个详细的保姆教程,只需要跟着我的步骤一步来就可以无障碍启动了。前提条件前提条件当然是先下载blog-auto-publishing-tools......
  • Redis官方开源的可视化管理工具 - RedisInsight
    前言今天大姚给大家推荐一款Redis官方开源的可视化管理工具:RedisInsight。Redis介绍Redis(RemoteDictionaryServer)是一个使用C语言编写的,开源的(遵守BSD协议)高性能的、支持网络、可基于内存亦可持久化的日志型、Key-Value的NoSQL数据库。工具介绍RedisInsight是......
  • 注册表碎片整理是一种优化操作系统注册表的方法,旨在减少注册表文件的碎片化,从而提高系
    注册表碎片整理是一种优化操作系统注册表的方法,旨在减少注册表文件的碎片化,从而提高系统性能和响应速度。它通过重新整理和优化注册表文件的存储结构,以及压缩空闲空间等方式,来改善系统的整体表现。注册表是Windows操作系统中的核心组件之一,它存储了系统和安装的应用程序的配......
  • 10_工具变量法
    第10章工具变量法OLS成立的前提:前定变量或同期外生=解释变量与扰动项不相关内生性(解释变量与扰动项相关)来源:遗漏变量偏差联立方程偏差(双向因果关系)测量误差偏差(measurementerrorbias)解决内生性问题的方法之一:工具变量法10.1联立方程偏差解释变量与被解释变量直接......
  • poetry 工具-Python社区的Maven工具
    当初学习javaMaven,感觉非常太强大了,集jar包依赖、项目创建、项目发布于一身。在Python中一直没有找到和Maven对应的工具,pip+requirements.txt仅仅能解决项目中包依赖的问题,因为没有一个标准的项目模板,python的项目创建很随性,另外,python项目打包过程也很麻烦.......