1 進程分析工具
1.1 ProcessHacker
功能:ProcessHacker是一款不錯的進程分析工具,可查看所有進程信息,包括進程加載的dll、進程打開的文件、進程讀寫的注冊表……,也可以將特定進程的內存空間Dump到本地,此外還可以查看網絡連接。
工具截圖如下:
注:查看具體進程的詳細信息,雙擊Processes列表中的進程名字即可。
1.2 ProcessExplorer
功能:ProcessExplorer是一款不錯的進程分析工具,微軟官方推薦工具,穩定性和兼容性相對不錯。可查看所有進程的信息,包括其加載的dll、創建的線程、網絡連接……,同樣可以Dump出進程的內存空間到本地。
1.3 ProcessMonitor
功能:ProcessMonitor是一款實時刷新的進程信息監控工具,微軟官方推薦工具,穩定性和兼容性也是相對出色。展示的信息很全面,且每一個打開的句柄、注冊表、網絡連接……都與具體的進程關聯起來。
1.4 XueTr
功能:XueTr(官網www.xuetr.com)是一個Windows系統信息查看軟件,可協助排查木馬、后門等病毒,功能包含:
1.進程、線程、進程模塊、進程窗口、進程內存、定時器、熱鍵信息查看,殺進程、殺線程、卸載模塊等功能
2.內核驅動模塊查看,支持內核驅動模塊的內存拷貝
3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看,並能檢測和恢復ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,並支持對這些Notify Routine的刪除
5.端口信息查看
6.查看消息鈎子
7.內核模塊的iat、eat、inline hook、patches檢測和恢復
8.磁盤、卷、鍵盤、網絡層等過濾驅動檢測,並支持刪除
9.注冊表編輯
10.進程iat、eat、inline hook、patches檢測和恢復
11.文件系統查看,支持基本的文件操作
12.查看(編輯)IE插件、SPI、啟動項、服務、Host文件、映像劫持、文件關聯、系統防火牆規則、IME
13.ObjectType Hook檢測和恢復
14.DPC定時器檢測和刪除
15.MBR Rootkit檢測和修復
16.內核對象劫持檢測
17.其它一些手工殺毒時需要用到的功能,如修復LSP、修復安全模式等
1.5 PCHunter
功能:XueTr的增強版,功能和XueTr差不多,可參考上圖。推薦更多使用PCHunter,減少出故障的概率。
1.6 ProcessDump
功能:可對指定的進程,將其進程空間內的所有模塊單獨Dump出來,甚至可Dump出隱藏的模塊(即進程加載的dll,這里通常是被注入)。
注:這是個命令行工具。
1.7 PsTools
功能:PsTools是命令行工具集,微軟官方推薦,功能多而全,其涵蓋的子功能(命令)如下:
2 流量分析工具
2.1 Wireshark
功能:Wireshark是一款常用的網絡抓包工具,同時也可以用於流量分析。
2.2 科來網絡分析
功能:科來公司的一款流量分析工具,對比Wireshark要相對易用些(特別是流量分析入門人員),此外,該工具會自動將流量進行歸類和統計。在某種意味上,還是比較方便的。
2.3 TCPView
功能:查看系統的網絡連接詳情,每一條連接對應的進程、協議、進程、源目地址、源目端口、連接狀態……總之,可展示當前活躍連接的所有詳細信息。
3 啟動項分析工具
3.1 AutoRuns
功能:一款不錯的啟動項分析工具,微軟官方推薦。只要涉及到啟動項相關的信息,事無巨細,通通都可以查詢得到,非常方便找到病毒的啟動項。
4 信息收集工具
4.1 FastIR
功能:收集操作系統的關鍵日志、關鍵信息,方便后續取證和排查分析。
4.2 BrowsingHistoryView
功能:收集瀏覽器的歷史記錄,方便追溯域名、URL的訪問來源是否源自於用戶行為。
5 輔助工具
5.1 Hash
功能:文件hash計算工具,可計算文件MD5、SHA1、CRC值,可用於輔助判斷文件是否被篡改,或者使用哈希值到威脅情報網站查看是否為惡意文件。
5.2 ntfsdir
功能:病毒也有可能是以創建服務啟動項的方式保持長久運行,點擊Autoruns的Services功能,如下圖,檢查是否有異常的服務啟動項。
5.3 Unlocker
功能:可對難以刪除的文件進行強制刪除(包括鎖定的文件),需安裝,安裝后右鍵菜單”Unlocker“即可彈出如下界面:
6 Webshell查殺工具
6.1 wscan
功能:深信服自研的一款Webshell查殺工具。
6.2 D盾
功能:D盾是迪元素科技的一款Webshell查殺工具。
7 專殺工具
7.1 飛客蠕蟲專殺
功能:專門針對飛客蠕蟲病毒進行查殺的工具。
飛客蠕蟲專殺工具有kidokiller(卡巴斯基出品)、TMCleanTool(趨勢科技出品)。
Kidokiller運行截圖如下,紅色方框的所有0值表明沒有中飛客蠕蟲,如果有非0值,即說明中了飛客蠕蟲。
TMCleanTool的運行截圖如下,有威脅項即表明中了飛客蠕蟲。
7.2 Ramnit專殺
功能:專門針對Ramnit類家族病毒進行查殺的工具。
FxRamnit是賽門鐵克出品的Ramnit專殺工具,其運行界面如下,點擊”Start“按鈕即可:
注:由於Ramnit是全盤感染性病毒,故此專殺工具運行時間比較長,需耐心等待(FxRamnit常常給人一種”假死“的感覺)。