2023年网络安全专家都在用的应急响应-常用工具

1. Sysinternals Suite

Sysinternals Suite是微软发布的一套非常强大的免费工具程序集。

下载链接： https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysinternals-suite

其中包含：（只列举部分）

AccessChk

为了确保创建安全的环境，Windows 管理员通常需要了解特定用户或用户组对文件、目录、注册表项和 Windows 服务等资源具有哪种访问权限。AccessChk 能够通过直观的界面和输出快速回答这些问题。

AccessEnum

这一简单但强大的安全工具可以向您显示，谁可以用何种访问权限访问您系统中的目录、文件和注册表项。使用此工具可查找权限漏洞。

Ctrl2cap

这是一个内核模式的驱动程序，可在键盘类驱动程序上演示键盘输入过滤，以便将 Caps-Lock 转变为控制键。在此级别过滤允许在 NT 刚好要“看到”键之前变换和隐藏键。Ctrl2cap 还显示如何使用 NtDisplayString() 打印初始化蓝屏的消息。

DebugView

Sysinternals 的另一个优先程序：此程序截取设备驱动程序对 DbgPrint 的调用和 Win32 程序生成的 OutputDebugString。它允许在不使用活动的调试器的情况下，在本地计算机上或通过 Internet 查看和记录调试会话输出。

Desktops

使用这一新的实用工具可以创建最多四个虚拟桌面，使用任务栏界面或热键预览每个桌面上的内容并在这些桌面之间轻松地进行切换。

NTFSInfo

用 NTFSInfo 可以查看有关 NTFS 卷的详细信息，包括主文件表 (MFT) 和 MFT 区的大小和位置，以及 NTFS 元数据文件的大小。

PortMon

通过高级监视工具监视串行端口和并行端口的活动。它能识别所有的标准串行和并行 IOCTL，甚至可以显示部分正在发送和接收的数据。3.x 版具有强大的新 UI 增强功能和高级筛选功能。

ProcDump

这一新的命令行实用工具旨在捕获其他方式难以隔离和重现 CPU 峰值的进程转储。该工具还可用作用于创建进程转储的一般实用工具，并可以在进程具有挂起的窗口或未处理的异常时监视和生成进程转储。

Process Explorer

找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。

2. PCHunter

PCHunter是一款系统增强工具，可以对系统内核等实现修改以及系统其他功能微调，相当专业的功能。

下载链接：http://www.xuetr.com/

本工具目前初步实现如下功能：

• 进程、线程、进程模块、进程窗口、进程内存信息查看，杀进程、杀线程、卸载模块等功能
• 内核驱动模块查看，支持内核驱动模块的内存拷贝
• SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能检测和恢复ssdt hook和inline hook
• CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，并支持对这些Notify Routine的删除
• 端口信息查看，目前不支持2000系统
• 查看消息钩子
• 内核模块的iat、eat、inline hook、patches检测和恢复
• 磁盘、卷、键盘、网络层等过滤驱动检测，并支持删除
• 注册表编辑
• 进程iat、eat、inline hook、patches检测和恢复
• 文件系统查看，支持基本的文件操作
• 查看（编辑）IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME
• ObjectType Hook检测和恢复
• DPC定时器检测和删除
• MBR Rootkit检测和修复
• 内核对象劫持检测
• WorkerThread枚举
• Ndis中一些回调信息枚举
• 硬件调试寄存器、调试相关API检测
• 枚举SFilter/Fltmgr的回调
• 系统用户名检测

3. 火绒剑

火绒剑-互联网安全分析软件（HRSword），它是火绒安全软件里的高级工具，适用Windows系统的安全分析辅助工具，具有系统动作监控、文件管理、进程管理、启动项管理、注册表管理、服务管理、驱动模块、网络管理、系统内核查看、钩子扫描等功能。用它可以查看各类系统信息，通过监控分析系统各种行为。

下载链接：https://www.huorong.cn/

4. Process Monitor

Process Monitor 是一种用于 Windows 的高级监控工具，它显示 实时文件系统、注册表和进程/线程活动。 它结合了 两个遗留 Sysinternals 实用程序的功能， Filemon 和 Regmon ，并添加了广泛的增强功能列表，包括丰富和 无损过滤，会话等综合事件属性 ID 和用户名、可靠的进程信息、完整的线程堆栈 为每个操作提供集成符号支持，同时记录 到一个文件，等等。 其独特的强大功能将使 Process Monitor 是系统故障排除中的核心实用程序 恶意软件搜寻工具包。

下载链接： https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

Process Monitor 包括强大的监控和过滤功能， 包含：

• 为操作输入和输出参数捕获更多数据
• 无损过滤器允许您设置过滤器而不会丢失数据
• 为每个操作捕获线程堆栈使得它在许多 确定操作根本原因的案例
• 可靠捕获进程详细信息，包括图像路径、命令 线路、用户和会话 ID
• 任何事件属性的可配置和可移动列
• 可以为任何数据字段设置过滤器，包括未设置的字段 配置为列
• 高级日志架构可扩展到数千万捕获 事件和千兆字节的日志数据
• 进程树工具显示所有进程的关系 一个痕迹
• 本机日志格式保留所有数据，以便以不同的方式加载 进程监视器实例
• 用于轻松查看过程映像信息的过程工具提示
• 详细工具提示允许方便地访问格式化数据， 不适合列
• 可取消的搜索
• 所有操作的启动时间记录

从靠劳力赚钱转变成靠脑力赚钱，想入门网络安全的小白肯定想知道如何学好？

👉[[[CSDN大礼包：《黑客&网络安全入门&进阶学习资源》免费分享]]]（安全链接，放心点击）

一、网安学习成长路线图

Python所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。（全套教程文末领取哈）

二、网安视频合集

观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。

三、精品网安学习书籍

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。

四、网络安全源码合集+工具包

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块

这份完整版的学习资料已经上传CSDN，朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】