主机入侵痕迹排查工具包

主机入侵痕迹排查工具包

---

一、文件分析

1.VirusTotal

它与传统杀毒软件的不同之处是它通过多种反病毒引擎扫描文件。使用多种反病毒引擎对您所上传的文件进行检测, 以判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件感染。
这样大大减少了杀毒软件误杀或未检出病毒的几率，其检测率优于使用单一产品。其反病毒引擎已经多达40种以上，但是也不能保证该网站扫描通过的文件就彻底无害，毕竟道高一尺，魔高一丈。事实上，没有任何一款软件可以提供100%的病毒和恶意软件检测率，杀毒软件所做的就是最大限度的避免用户受到侵害。该网站支持电子邮件或直接上传的两种方式分析文件。
VirusTotal有一款名为VirusTotal Uploader 的外壳扩展，可以帮助方便的上传文件。使用 VirusTotal 不用安装额外的软件，一切都可以操作都是在上网浏览器中完成，所以，VirusTotal的缺点是只能扫描提交的文件，无法对计算机进行全面的检查，并且该网站只支持单个文件的容量在30MB以下的文件上传查毒。此外，VirusTotal每15分钟更新一次病毒资料库，可以实时提供最新的反病毒引擎以检测出大部分可能的威胁。

在线地址：https://www.virustotal.com/gui/

二、威胁情报

1.微步在线

“微步在线” ，定位以安全威胁情报 (Threat Intelligence) 服务为中心的安全公司。
创始人兼 CEO 薛锋曾任亚马逊中国首席安全官，微软中国互联网安全战略总监，是 Blackhat 欧洲安全大会和微软蓝帽子大会 Bluehat 上首位来自中国的演讲者。团队其他成员分别来自于来自亚马逊、阿里巴巴、微软、支付宝、京东、搜狗等。

在线地址：https://x.threatbook.cn/

三、进程分析

1.Process Explorer

由Sysinternals开发的Windows系统和应用程序监视工具，已并入微软旗下。不仅结合了Filemon（文件监视器）和Regmon（注册表监视器）两个工具的功能，还增加了多项重要的增强功能。包括稳定性和性能改进、强大的过滤选项、修正的进程树对话框（增加了进程存活时间图表）、可根据点击位置变换的右击菜单过滤条目、集成带源代码存储的堆栈跟踪对话框、更快的堆栈跟踪、可在 64位 Windows 上加载 32位 日志文件的能力、监视映像（DLL和内核模式驱动程序）加载、系统引导时记录所有操作等。

下载地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

四、Webshell查杀

1.河马

河马webshell查杀工具(免费webshell查杀助手)是一款很优秀好用的电脑webshell查杀辅助工具。如果你需要一款好用的webshell查杀软件，小编带来的这款河马webshell查杀工具是很不错的选择，功能强大全面，使用后可以帮助用户更轻松便捷的查杀webshell。其可以很好的将一些webshell进行查杀，这样就很好的保护了网站的安全。有需要的朋友欢迎来下载使用。
查杀
河马扫描器支持多种操作系统，体积小、速度快、准确度高
测评
拥有海量webshell样本，形成科学查杀鉴定标准，可对同行产品进行查杀能力测评。
人工
日志分析、webshell查杀、溯源，帮助企业和网站站长进行webshell清理及漏洞挖掘修复。

下载：https://www.shellpub.com/

2.chkrootkit

chkrootkit从浅显的层面来讲即一种具有自我隐蔽性的后门程序，它往往被入侵者作为一种入侵工具。通过rootkit，入侵者可以偷偷控制被入侵的电脑，因此危害巨大。chkrootkit是一个Linux系统下的查找检测rootkit后门的工具。本文将介绍chkrootkit的安装与使用方法。
chkrootkit没有包含在官方的CentOS或Debian源，因此我们将采取手动编译的方法来安装，这种方式也更加安全。由于需要编译源代码，因此还需要在系统中安装好gcc编译包。

下载：http://www.chkrootkit.org

五、我的公众号

后续操作请持续关注哦！！！
了解更多请关注下列公众号：
😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗😗😗😗😗😗😗😗😗

😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗😗😗😗😗😗😗😗😗