Process Explorer,Monitor
- Process Monitor是一款系统进程监视工具,Sysinternals被微软收购以后将原来著名的文件监视工具Filemon和注册表监视工具Regmon合并成了今天的Process Monitor。
- Process Explorer是微软官方推荐的一款免费的增强型任务管理器。能让使用者能了解看不到的在后台执行的处理程序,其以目录树的方式清晰明了的显示进程之间的归属关系,让人清楚的了解系统已经载入哪些模块,分别是正在被哪些程序使用着,还可显示这些程序所调用的DLL进程,以及他们所打开的句柄。Process Explorer最大的特色就是可以强制监视、挂起、重启和强行终止任何进程(对终止病毒木马等恶意进程很有效),其中也包括系统的核心进程。
- process monitor 下载地址:
- http://technet.microsoft.com/en-us/sysinternals/bb896645
Strings
- Strings:字符串查找工具
- https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings
Regshot
- Regshot:开源(LGPL)的注册表静态比较工具
Peid
- Peid:查壳工具
Wireshark
- 网络安全流量分析领域中,wireshark和csnas是取证、安全分析的好工具,包括很多研究安全规则、APT及木马流量特征的小伙伴,也会常用到两个工具