应急响应工具汇总及对应下载地址
Linux常用应急工具
名称 | 介绍 | 下载地址 | 备注 |
---|---|---|---|
strings | 提取二进制文件中的字符串 | 系统自带 | |
rootkit | 针对已知rootkit检测工具 | 官方下载 | |
strace | strace 命令是一个集诊断、调试、统计与一体的工具,可以使用 strace 对应用的系统调用和信号传递的跟踪结果来对应用进行分析,以达到解决问题或者是了解应用工作过程的目的。例:strace -f -p pid 用于跟踪进程行为。 | 有些系统没有默认安装 | |
stat | 查看文件的创建、修改、访问时间 | 系统自带 | |
ps | Linux 中的 ps 命令是 Process Status 的缩写。ps 命令用来列出系统中当前运行的那些进程。ps 命令列出的是当前那些进程的快照。例:使用 ps -auxf 用于查看进程,及进程父子关系,用来排查进程相互之间的关系。 | 系统自带 | |
top | top 命令是 Linux 下常用的性能分析工具,能够实时显示系统中各个进程的资源占用状况,类似于 Windows 的任务管理器。 | 系统自带 | |
lsof | Lsof(list open files)是一个列出当前系统打开文件的工具。在 Linux 环境下,任何事物都以文件的形式存在,通过文件不仅可以访问常规数据,还可以访问网络连接和硬件。例:lsof -nPi 查看内部对外部的网络连接。 | 系统自带 | 功能强大基本上可以代替netstat和ps lsof命令介绍 |
busybox | BusyBox 是一个集成了三百多个最常用 Linux 命令和工具的软件。BusyBox 包含了一些简单的工具,例如 ls、cat 和 echo 等等,还包含了一些更大、更复杂的工具,如 grep、find、mount 以及 telnet。如果系统命令被替换或者有预加载动态链接库时可以使用此命令来查看系统相关信息(busybox ls 、busybox ps …) | 官网下载 | 实际测试时发现 有些命令参数与原命令是不同的 |
windows 常用应急工具
名称 | 介绍 | 下载地址 | 备注 |
---|---|---|---|
ProMon | 微软 Sysinternal 工具集里面的启动管理工具。著名的软件行为监控工具,包括文件、注册表、进程、网络等相关行为。 | 微软sysinternals工具库 | |
Autoruns | 微软 Sysinternal 工具集里面的启动管理工具。枚举出了 Windows 系统几乎所有的可以导致开机启动的方式。包括系统服务、计划任务、开机启动菜单、映像劫持甚至是Explorer、IE 插件以及解码器等等。 | 微软sysinternals工具库 | |
TCPView | 微软 Sysinternal 工具集里面的网络监控工具,可以在系统上查看所有 UDP 和 TCP 端点相关的详细列表,包括远程和本地地址以及 TCP 连接的状态。 | 微软sysinternals工具库 | |
strings | 提取二进制文件中的字符串 | 微软sysinternals工具库 | |
procexp | 进程、dll、句柄、文件签名、VirusTotal检测与一体的进程查看器 | 微软sysinternals工具库 | |
火绒剑 | 火绒剑官网 | 与Procexp功能类似,优点是有识别系统文件的功能,缺点是无法复制条目,没有与virustotal联动 | |
certutil | windows下计算MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512 等值 | 系统自带 | certutil -hashfile image.png md5 |
D盾webshell查杀 | D盾webshell查杀工具 | 官方下载 | |
河马在线webshell查杀
百度webshell 在线查杀
参考文档
国家网络安全事件应急预案
奇安信 2020年网络安全应急响应分析报告 2021
上海市网络安全事件应急预案 2019
GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
GB/T 28827.3-2012 信息技术服务 运行维护 第3部分:应急响应规范
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南