Process Explorer,Monitor
- Process Monitor是一款系統進程監視工具,Sysinternals被微軟收購以後將原來著名的文件監視工具Filemon和註冊表監視工具Regmon合併成了今天的Process Monitor。
- Process Explorer是微軟官方推薦的一款免費的增強型任務管理器。能讓使用者能瞭解看不到的在後臺執行的處理程序,其以目錄樹的方式清晰明瞭的顯示進程之間的歸屬關係,讓人清楚的瞭解系統已經載入哪些模塊,分別是正在被哪些程序使用着,還可顯示這些程序所調用的DLL進程,以及他們所打開的句柄。Process Explorer最大的特色就是可以強制監視、掛起、重啓和強行終止任何進程(對終止病毒木馬等惡意進程很有效),其中也包括系統的核心進程。
- process monitor 下載地址:
- http://technet.microsoft.com/en-us/sysinternals/bb896645
Strings
- Strings:字符串查找工具
- https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings
Regshot
- Regshot:開源(LGPL)的註冊表靜態比較工具
Peid
- Peid:查殼工具
Wireshark
- 網絡安全流量分析領域中,wireshark和csnas是取證、安全分析的好工具,包括很多研究安全規則、APT及木馬流量特徵的小夥伴,也會常用到兩個工具