安全工具的使用总结

一、Process Hacker

1.1、简介

​ Process Hacker是一款针对高级用户的安全分析工具，它可以帮助研究人员检测和解决软件或进程在特定操作系统环境下遇到的问题。除此之外，它还可以检测恶意进程，并告知我们这些恶意进程想要实现的功能。

1.2、应用场景

1、怀疑系统有病毒需要进行进程分析以及网络等行为分析；

2、需要处置已知的恶意程序或者进程。

1.3、下载地址

下载：https://processhacker.sourceforge.io/webshellki

1.4、功能分析

14.1、进程、服务和网络查看

①按照CPU从大到小排序，很有可能查看挖矿病毒；

②查看问题PID是否有注册服务；

③远程地址，端口号查看，可查看相关的病毒，如勒索病毒的445端口。

注：默认配置下，会在Processes标签页中以树形图的形式显示所有当前正在运行的进程列表进程：标识符（PID）；-CPU使用占比（CPU）；-I/O总速率；-私有字节；-运行进程的用户名；-进程简单描述。

1.4.2、单个进程处理

（1）一般常用：

Terminate（终止进程）

Terminate Tree （结束整个进程树）

Properties（进程具体信息）

注：

①Terminate 和Terminate Tree区别是对于有父进程守护的病毒，单独杀死子进程后父进程会生成子进程，所以建议使用Terminate Tree结束整个进程树。

②如果父进程是svchost等系统进程就要注意了，不能随意结束父进程否则可能会导致系统崩溃。

（2）Properties说明

查看进程具体的Properties信息，里面包括进程路径，内存加载的文件等各种信息。

二、 Autoruns

2.1、简介

​ Autoruns for Windows 是 Mark Russinovich 和 Bryce Cogswell 开发的一款软件，它能用于显示在 Windows启动或登录时自动运行的程序，并且允许用户有选择地禁用或删除它们。

2.2、使用场景

1、病毒查完完后经常由于某种原因重新启动；

2、平时检查是否存在可疑的自启动程序或者相关服务。

2.3、下载

地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns

2.4、功能说明

2.4.1、winlogon（开机启动）

注：系统开机后会自动启动的程序，一般的病毒会通过开机启动项winlogon进行恶意程序持续启动。

2.4.2、Scheduled Tasks（计划任务）

注：定期的计划任务可以使恶意程序定期启动。

2.4.3、services （系统服务项）

注：恶意程序注册成为服务后在被任务管理器结束进程后又可以被父进程拉起来持续运行，甚至一定程度上躲避杀毒软件。

2.4.4、Logon（登录项）

注：某个用户登录的时候触发恶意程序启动，这种一般是写入注册表的。

2.4.5、WMI（Windows管理组件）

注：WMI管理组件干任何事情，如定期启动，网络连接等操作，是挖矿病毒等隐藏自身的常用方式，查杀的时候需要重点关注。

2.4.6、Everything（所有相关内容）

三、D盾

3.1、简介

​ D盾防火墙专为IIS设计的一个主动防御的保护软件,以内外保护的方式防止网站和服务器给入侵,在正常运行各类网站的情况下，越少的功能，服务器越安全的理念而设计！限制了常见的入侵方法，让服务器更安全!

3.2、使用场景

1、怀疑网站服务器被黑（如发现被挂了黑链，上传了恶意文件），需要进行网页木马（webshell）查杀；

2、上防火墙等安全设备前对服务器进行查杀确保服务器在上防火墙前没有被黑，保证防火墙的防护效果；

3、一句话免疫,主动后门拦截,SESSION保护,防WEB嗅探,防CC,防篡改,注入防御,防XSS,防提权,上传防御,未知0day防御,异形脚本防御等等。

3.3、下载

D盾下载：http://www.d99net.net

3.4、功能说明

3.4.1、主要功能

webshell查杀与处置

注：

①查杀级别越高，木马可能性越大；

②删除后的文件会进入隔离区；

③即便是级别5的文件，建议每个文件去查看，如果自己不能确认可以让客户帮忙查看是否是业务系统文件，访问是否正常，得到客户确认才能删除。

3.4.2、辅助功能

①端口查看

②进程查看

③文件监控

1、把需要监控的目录写到监控目录栏目中并启动监控；

2、在监控目录下面修改文件;

3、在文件监控中查看。

④克隆账号检测

1、克隆账号检测需要以管理员身份运行D盾；

2、点击【工具】–【克隆账号检测】可以查看是否被黑客新建了用户。

总结：以上仅仅是在工作中常用的几款工具，可能还会使用网络行为分析工具如Tcpview、process_monitor，抓包工具wireshark、专杀工具反僵尸网络等等。另外在处理过程中可能不仅仅使用一种工具，而是多种工具的使用集合。

-END-

---

拿下NISP证书之后，身为普通的你可以：

跨越90%企业的招聘硬门槛

增加70%就业机会

拿下奇安信、腾讯等全国TOP100大厂敲门砖

体系化得到网络安全技术硬实力

IT大佬年薪可达30w+

如何入门学习网络安全【黑客】

【----帮助网安学习，以下所有学习资料文末免费领取！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）

大纲

首先要找一份详细的大纲。

学习教程

第一阶段：零基础入门系列教程

该阶段学完即可年薪15w+

第二阶段：技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

面试刷题

最后，我其实要给部分人泼冷水，因为说实话，上面讲到的资料包获取没有任何的门槛。

但是，我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”，其实是“无法开始”。

几乎任何一个领域都是这样，所谓“万事开头难”，绝大多数人都卡在第一步，还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术，马上行动起来，比一切都重要。

资料领取

上述这份完整版的网络安全学习资料已经上传网盘，朋友们如果需要可以微信扫描下方二维码 即可自动领取↓↓↓
或者
【点此链接】领取