|
以下内容为本人进行应急响应使用最频繁的三大工具,希望对大家有所帮助!
工具一:Process Hacker Process Hacker是一款功能丰富的系统进程管理工具。用户只要借助该程序就可以方便,快捷地查看相关进程的速度,内存,及模块等等,另外,还可以对相关的进程进行管理工作。
在应急响应中Process Hacker工具主要用到两个功能,分别是进程和网络 1. 详细查看windows系统运行哪些进程,对应进行使用CPU情况等 2. 详细查看windows系统有哪些网络连接,可以看到到具体端口,协议,连接状态
工具二:Autoruns Autoruns能用于显示在Windows启动或登录时自动运行的程序,并且允许用户有选择地禁用或删除它们,通过它我们还可以看到一些在msconfig里面无法查看到的病毒和木马以及恶意插件程序,还能够详细的把启动项目加载的所有程序列出来。比如logon、explorer还有IE上加载的dll跟其它组件。
在应急响应中Autoruns工具主要用到3个功能,分别是WMI、服务(Services)和任务计划(Scheduled Tasks)
1. WMI启动项查看是否有恶意进程,如有需删除,如下图: 2. 服务(Services)中能详细查看到具体服务名称和运行路径 如需删除服务,右击选择delete即可
3. 任务计划(ScheduledTasks)可以查看到具体进程映像位置,彻底删除威胁。
工具三:PC Hunter PC Hunter是Windows系统信息查看软件,一种常用性质软件。
在应急响应中PC Hunter工具主要用到1个功能,是文件。
1.文件管理可删除磁盘的任意文件,包含系统文件和歧义文件如删除文件提示错误或无法删除时,一般为文件被其他模块锁定或文件系统错误可查看文件锁定情况,解除锁定后使用强制删除模式或使用chkdsk修复文件所在磁盘。
该链接为介绍PC Hunter的具体功能作用可供参考 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-9-16 09:17
技术员2级 
