应急响应-常用工具介绍

在网络安全应急响应中可使用的工具很多，以下介绍部分常用工具。

SysinternalsSuite

• SysinternalsSuite是一个工具合集，如图所示。其中的工具可以用于管理、故障分析和诊断Windows系统级应用程序。如，使用ADExplorer可轻松实现导航AD数据库、定义收藏位置、查看对象属性，而无需打开对话框、编辑权限、查看对象架构，以及执行复杂搜索；使用TCPView可查看网络连接情况；使用PsExec可在远程系统上启动交互式命令提示和IPConfig等远程启动工具；使用Autoruns可对进程、服务、启动项等进行检测；使用procdump，可对内存进行获取等。

• • 

PCHunter/火绒剑/PowerTool

• PCHunter是一个强大的内核级监控工具，可以查看进程、驱动模块、内核、网络、注册表、文件等信息，如图所示。

• • 

• 与PCHunter功能相似的还有火绒剑、PowerTool，图为火绒剑工具截图。

• • 

• 图为PowerTool截图。

• • 

Process Monitor

• Process Monitor 可以监控程序的各种操作，其中主要监控程序的文件系统、注册表、进程、网络、分析。由于Process Monitor监控的是系统中所以程序的运行，数据量往往很大，因此为了方便分析数据，可以设置过滤对话框选项，通过选择【Filter】菜单中的【Filter】命令，打开【Process Monitor Filter】对话框进行设置，如图所示。

• • 

Event Log Explorer

• Event Log Explorer是一个检测系统安全的工具，可以查看、检索和分析日志事件、包括安全、系统、应用程序和其他windows系统记录事件。图为工具截图。

• • 

FullEventLogView

• FullEventLogView是一个轻量级的日志检索工具，能够显示并查看Windows系统事件日志的详细信息，可以查看本地计算机的事件，也可以查看远程计算机的事件，并可将事件导出为text、csv、tab-delimited、html、xml等格式文件，如图所示。

• • 

Log Parser

• Log Parser是微软公司推出的日志分析工具，功能强大，使用简单，可以分析基于文本的日志文件、XML格式文件、CSV（逗号分隔符）格式文件，以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像SQL语句一样查询、分析这些数据，甚至可以把分析结果以各种图表的形式展现出来，如图所示。

• • 

ThreatHunting

• ThreatHunting是观星实验室开发的工具，可以对日志、进程、Webshell等进行检测，如图所示。

• • 

WinPrefetchView

• WinPrefetchView是一个预读取文件（Prefetch文件）查看器，用于读取存储在系统中的预读文件，如图所示。

• • 

WifiHistoryView

• WifiHistoryView是一个自动读取系统里的无线网卡连接记录的工具，运行后可以查看连接时间、事件发生的类型、、所用到的网卡、连接上的网络SSID名称、加密类型等信息，如图所示。

• • 

奇安信应急响应工具箱

自动攻击链条分析

• 面对大量主机日志，如何快速将每台主机的攻击链条串联起来至关重要。攻击链条（事件串联）功能可自动将多台主机日志的攻击行为以时间为节点形式呈现，同时还将攻击方法、动作分类展现，如图所示。

• • 

自动攻击路径分析

• 自动攻击路径分析功能可分析出攻击者攻击的完整路径，包括首次访问的信息、账号和密码爆破情况、使用的漏洞情况等，如图所示。

• • 

自动主机日志分析

• 自动主机日志分析内容包括成功/失败、新建服务、新建账号、权限修改等事件，如图所示。

• • 

自动数据关联分析

• 自动数据关联分析功能可将存在攻击行为的主机的访问时间、连接次数、攻击行为等进行关联，实现攻击链路可视化展现，还可查看采集信息的主机节点、检测到有攻击行为的节点、威胁情报标识节点和无标识节点，其中只包含单台主机的有向图为单向，包含多台主机的有向图为双向。界面左侧可根据不同主机、不同账号、不同行为、不同登录的情况进行筛选；界面下方为时间轴，可根据不同时间进行拖动，展示对应时间段主机被攻击的情况，如图所示。

• •