原创作者: nul1

转自: https://www.cnblogs.com/nul1

1 进程分析工具

1.1 ProcessHacker
功能:ProcessHacker 是一款不错的进程分析工具,可查看所有进程信息,包括进程加载的 dll、进程打开的文件、进程读写的注册表……,也可以将特定进程的内存空间 Dump 到本地,此外还可以查看网络连接。
工具截图如下:
图片

注:查看具体进程的详细信息,双击 Processes 列表中的进程名字即可。
1.2 ProcessExplorer
功能:ProcessExplorer 是一款不错的进程分析工具,微软官方推荐工具,稳定性和兼容性相对不错。可查看所有进程的信息,包括其加载的 dll、创建的线程、网络连接……,同样可以 Dump 出进程的内存空间到本地。
图片

1.3 ProcessMonitor
功能:ProcessMonitor 是一款实时刷新的进程信息监控工具,微软官方推荐工具,稳定性和兼容性也是相对出色。展示的信息很全面,且每一个打开的句柄、注册表、网络连接…… 都与具体的进程关联起来。
图片

1.4 XueTr
功能:XueTr(官网 www.xuetr.com)是一个 Windows 系统信息查看软件,可协助排查木马、后门等病毒,功能包含:

  1. 进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能
  2. 内核驱动模块查看,支持内核驱动模块的内存拷贝
    3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT 信息查看,并能检测和恢复 ssdt hook 和 inline hook
    4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego 等 Notify Routine 信息查看,并支持对这些 Notify Routine 的删除
  3. 端口信息查看
  4. 查看消息钩子
  5. 内核模块的 iat、eat、inline hook、patches 检测和恢复
  6. 磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
  7. 注册表编辑
  8. 进程 iat、eat、inline hook、patches 检测和恢复
  9. 文件系统查看,支持基本的文件操作
  10. 查看(编辑)IE 插件、SPI、启动项、服务、Host 文件、映像劫持、文件关联、系统防火墙规则、IME
    13.ObjectType Hook 检测和恢复
    14.DPC 定时器检测和删除
    15.MBR Rootkit 检测和修复
  11. 内核对象劫持检测
  12. 其它一些手工杀毒时需要用到的功能,如修复 LSP、修复安全模式等
    图片

1.5 PCHunter
功能:XueTr 的增强版,功能和 XueTr 差不多,可参考上图。推荐更多使用 PCHunter,减少出故障的概率。

1.6 ProcessDump
功能:可对指定的进程,将其进程空间内的所有模块单独 Dump 出来,甚至可 Dump 出隐藏的模块(即进程加载的 dll,这里通常是被注入)。
图片

注:这是个命令行工具。

1.7 PsTools
功能:PsTools 是命令行工具集,微软官方推荐,功能多而全,其涵盖的子功能(命令)如下:
图片

2 流量分析工具

2.1 Wireshark
功能:Wireshark 是一款常用的网络抓包工具,同时也可以用于流量分析。
图片

2.2 科来网络分析
功能:科来公司的一款流量分析工具,对比 Wireshark 要相对易用些(特别是流量分析入门人员),此外,该工具会自动将流量进行归类和统计。在某种意味上,还是比较方便的。
图片

2.3 TCPView
功能:查看系统的网络连接详情,每一条连接对应的进程、协议、进程、源目地址、源目端口、连接状态…… 总之,可展示当前活跃连接的所有详细信息。
图片

3 启动项分析工具

3.1 AutoRuns
功能:一款不错的启动项分析工具,微软官方推荐。只要涉及到启动项相关的信息,事无巨细,通通都可以查询得到,非常方便找到病毒的启动项。
图片

4 信息收集工具

4.1 FastIR
功能:收集操作系统的关键日志、关键信息,方便后续取证和排查分析。

4.2 BrowsingHistoryView
功能:收集浏览器的历史记录,方便追溯域名、URL 的访问来源是否源自于用户行为。

5 辅助工具

5.1 Hash
功能:文件 hash 计算工具,可计算文件 MD5、SHA1、CRC 值,可用于辅助判断文件是否被篡改,或者使用哈希值到威胁情报网站查看是否为恶意文件。
图片

5.2 ntfsdir
功能:病毒也有可能是以创建服务启动项的方式保持长久运行,点击 Autoruns 的 Services 功能,如下图,检查是否有异常的服务启动项。

5.3 Unlocker
功能:可对难以删除的文件进行强制删除(包括锁定的文件),需安装,安装后右键菜单”Unlocker“即可弹出如下界面:
图片

6 Webshell 查杀工具

6.1 wscan
功能:深信服自研的一款 Webshell 查杀工具。
图片

6.2 D 盾
功能:D 盾是迪元素科技的一款 Webshell 查杀工具。
图片

7 专杀工具

7.1 飞客蠕虫专杀
功能:专门针对飞客蠕虫病毒进行查杀的工具。
飞客蠕虫专杀工具有 kidokiller(卡巴斯基出品)、TMCleanTool(趋势科技出品)。
Kidokiller 运行截图如下,红色方框的所有 0 值表明没有中飞客蠕虫,如果有非 0 值,即说明中了飞客蠕虫。
图片

TMCleanTool 的运行截图如下,有威胁项即表明中了飞客蠕虫。
图片

7.2 Ramnit 专杀
功能:专门针对 Ramnit 类家族病毒进行查杀的工具。
FxRamnit 是赛门铁克出品的 Ramnit 专杀工具,其运行界面如下,点击”Start“按钮即可:
图片

注:由于 Ramnit 是全盘感染性病毒,故此专杀工具运行时间比较长,需耐心等待(FxRamnit 常常给人一种” 假死 “的感觉)。