美國服務(wù)器Windows系統可用的工具也是非常多，今天美聯(lián)科技小編整理了一些美國服務(wù)器Windows系統常見(jiàn)并且實(shí)用的PE工具、調試反匯編工具、應急工具、流量分析工具和Web Shell查殺工具，希望可以幫助到一些安全行業(yè)的美國服務(wù)器初學(xué)用戶(hù)。

一、PE工具篇

PEiD

一款著(zhù)名的PE偵殼工具，可以檢測PE常見(jiàn)的一些殼，但是目前已經(jīng)無(wú)法從官網(wǎng)獲得。

EXEInfoPE

PE偵殼工具，PEiD的加強版，可以查看EXE/DLL文件編譯器信息、是否加殼、入口點(diǎn)地址、輸出表/輸入表等等PE信息。

DetectIt Easy

開(kāi)源的PE偵殼工具，是一個(gè)跨平臺的應用程序，有Windows、Linux、Mac OS多個(gè)可用版本。

CFFExplorer

優(yōu)秀的PE32 &PE64編輯工具，可以方便的查看及編輯PE文件，完全支持.NET文件格式。

StudyPE

PE32 & PE64 查看分析集成工具，具有強大的PE結構處理分析功能，在查殼方面功能略顯薄弱。

二、調試/反編譯工具篇

OllyDbg

Ring3級調試器，支持插件擴展功能，唯一不足的是OD是一個(gè)32位調試器，不支持調試64位程序。

WinDbg

支持Windows平臺，用戶(hù)態(tài)和內核態(tài)的調試器，有圖形界面和命令行兩種調試方式，具有強大的內核調試功能。

x32dbg/x64dbg

開(kāi)源的調試器，從界面和操作使用和OD相似，支持32位和64位應用程序的調試，解決了OD對64位應用程序調試上的缺陷。

dnSpy

針對.NET程序的開(kāi)源逆向程序的工具，包含了反匯編器，調試器和匯編編輯器等功能組件，支持插件功能。

IDAPro

全稱(chēng)Interactive Disassembler Professional，交互式反匯編器專(zhuān)業(yè)版，目前最受歡迎的靜態(tài)反編譯工具。

VB Decompiler

針對Visual Basic 5.0/6.0開(kāi)發(fā)的程序的反編譯器。

三、應急工具篇

1、日志相關(guān)

Sysmon

Windows Sysinternals出品的一款Sysinternals系列中的工具，它以系統服務(wù)和設備驅動(dòng)程序的方法安裝在系統上，并保持常駐性。用來(lái)監視和記錄系統活動(dòng)，并記錄到windows事件日志，可以提供有關(guān)進(jìn)程創(chuàng )建，網(wǎng)絡(luò )鏈接和文件創(chuàng )建時(shí)間更改的詳細信息。

LastActivityView

電腦操作記錄查看器，直接調用系統日志，顯示安裝軟件、系統啟動(dòng)、關(guān)機、網(wǎng)絡(luò )連接、執行exe 的發(fā)生時(shí)間和路徑。

2、注冊表相關(guān)

Regshot

注冊表比較工具，通過(guò)抓取兩次注冊表快速比較得出兩次注冊表的不同之處。

Autoruns

基于Windows平臺的自動(dòng)運行程序的管理工具，可以控制登錄時(shí)的加載程序、驅動(dòng)程序加載、服務(wù)啟動(dòng)、任務(wù)計劃等 Windows 中各種方面的啟動(dòng)項。

3、進(jìn)程相關(guān)

Process Hacker

一款功能豐富的開(kāi)源系統進(jìn)程輔助工具，可以方便的查看進(jìn)程的運行情況、內存以及模塊信息，還可以對進(jìn)程進(jìn)行管理。

Power Tool

免費的進(jìn)程管理器，可以查看文件或文件夾被占用的情況，內核模塊和驅動(dòng)的查看管理，進(jìn)程模塊的內存dump等工具。

Process Lasso

獨特的調試進(jìn)程級別的系統優(yōu)化工具，主要功能是基于其特別的算法動(dòng)態(tài)調整各個(gè)進(jìn)程優(yōu)先級以實(shí)現為系統減負的目的?？梢杂脕?lái)監視進(jìn)程動(dòng)作。

4、文件相關(guān)

Hash Tab

文件校驗工具，分為免費個(gè)人版以及付費版。下載安裝后可以通過(guò)查看文件屬性中的Hash Tab快速得到文件的哈希值，支持多種哈希算法。

Hash Checker

開(kāi)源的文件校驗工具，安裝完成后可以通過(guò)文件屬性中的文件校驗快速得到文件的哈希值，支持右鍵菜單創(chuàng )建校驗文件功能和批量校驗功能。

Unlocker

右鍵擴充工具，通過(guò)刪除文件和程序關(guān)聯(lián)的方式解除文件的占用，在解除占用時(shí)不會(huì )強制關(guān)閉占用文件進(jìn)程。

Everything

強大的Windows桌面搜索引擎，可以在NTFS卷上快速的根據名稱(chēng)查找文件和目錄。

Winhex

十六進(jìn)制編輯器，在計算機取證，數據恢復，低級數據處理和IT安全領(lǐng)域非常有用。

Bin Diff

開(kāi)源的二進(jìn)制文件對比工具，可幫助安全人員快速發(fā)現反匯編代碼中的差異和相似之處。支持x86、MIPS、ARM/AArch64、PowerPC等架構進(jìn)行二進(jìn)制文件的對比。

Beyond Compare

由Scooter Software推出的文件比較工具，主要用于比較兩個(gè)文件夾或者文件并將差異以顏色標記，比較的范圍包括目錄，文檔內容等。

5、內存相關(guān)

SfAntiBotPro

內存檢索工具，可以根據輸入的字符串快速檢索計算機內存，輸出包含該字符串的進(jìn)程信息，在進(jìn)行惡意域名檢測時(shí)有事半功倍的效果。

DumpIt

免安裝的Windows內存鏡像取證工具，可以使用其輕松的將一個(gè)系統的完整內存鏡像下來(lái)，并用于后續的調查取證工作。

6、設備監控

USBLogView

USB設備監控軟件，后臺運行，可以記錄插入或拔出系統的任何USB的詳情信息。

7、集成工具

PC Hunter

驅動(dòng)級的系統維護工具，能夠查看各種Windows的各類(lèi)底層系統信息，包括進(jìn)程、驅動(dòng)模塊、內核、內核鉤子、應用層鉤子，網(wǎng)絡(luò )、注冊表、文件、啟動(dòng)項、系統雜項、電腦體檢等。

Malware Defender

HIPS主機入侵防御系統軟件，用戶(hù)可以編寫(xiě)規則來(lái)防范病毒、木馬的侵害。另外，Malware Defender提供了很多有效的工具來(lái)檢測和刪除已經(jīng)安裝在美國服務(wù)器系統中的惡意軟件。

火絨劍

用于分析、處理惡意程序的安全工具軟件，提供了“程序行為監控”、“進(jìn)程管理”、“文件管理”、“注冊表管理”、“系統啟動(dòng)項管理”、”內核程序管理“、“代碼鉤子掃描”七大功能。

四、流量分析工具篇

WireShark

網(wǎng)絡(luò )封包分析工具，可以幫助用戶(hù)深入分析網(wǎng)絡(luò )協(xié)議，涵蓋上百種協(xié)議以及各類(lèi)主要平臺，通過(guò)GUI或TTY-mode瀏覽數據。

Fiddler

C#編寫(xiě)的http抓包改包工具，相較wireshark更加輕量級，在http和https數據包的抓取上更加專(zhuān)業(yè)。還能設置斷點(diǎn)，修改請求和響應的數據，模擬弱網(wǎng)絡(luò )環(huán)境，支持插件拓展。

Microsoft Network Monitor

只支持Windows平臺的網(wǎng)絡(luò )數據分析工具，提供了一個(gè)專(zhuān)業(yè)的網(wǎng)路實(shí)時(shí)流量圖形界面，擁有識別和監控超過(guò)300種網(wǎng)絡(luò )協(xié)議的能力。

Capsa Packet Sniffer

網(wǎng)絡(luò )分析工具，用于網(wǎng)絡(luò )監控、故障排除和網(wǎng)絡(luò )診斷等功能。

Network Miner

支持Windows平臺的網(wǎng)絡(luò )取證分析工具，通過(guò)嗅探或者分析PCAP文件可以偵測到操作系統，主機名和開(kāi)放的網(wǎng)絡(luò )端口主機。

Angry IP Scanner

開(kāi)源的網(wǎng)絡(luò )掃描儀，支持Linux，Windows和Mac OS X平臺，可以在最短的時(shí)間內掃描遠端主機IP運作情況，包括主機名，目前開(kāi)放的端口和IP的運作情況。

五、Web Shell查殺工具篇

D盾

D盾是一個(gè)專(zhuān)為IIS設計的主動(dòng)防御保護軟件，有一句話(huà)免疫，主動(dòng)后門(mén)攔截，SESSION保護，防WEB嗅探，防CC，防篡改，注入防御，防XSS，防提權，上傳防御，未知0day防御，異形腳本防御等功能，以?xún)韧獗Ｗo的方式防止網(wǎng)站和美國服務(wù)器被入侵。

Web Shell Killer

Web Shell Killer是個(gè)Web后門(mén)專(zhuān)殺工具，不僅支持Web shell掃描，還支持暗鏈掃描。該工具將傳統的技術(shù)與人工智能技術(shù)相結合、靜態(tài)掃描和動(dòng)態(tài)分析相結合，更精準的檢測出Web網(wǎng)站已知和未知的后門(mén)文件。

關(guān)注美聯(lián)科技，關(guān)注更多IDC資訊！