写点什么

网络攻防学习笔记 Day70

发布于: 1 小时前
网络攻防学习笔记 Day70

应急响应的工具指南:


1.SysinternalsSuite 是一个工具集合,其中的工具可以用于管理、故障分析和诊断 Windows 系统及应用程序。

使用 ADExplorer 可轻松实现导航 AD 数据库、定义收藏位置、查看对象属性,而无须打开对话框、编辑权限、查看对象的架构,以及执行复杂搜索;

使用 TCPView 可查看网络连接情况 ;

使用 PsExec 可在远程系统上启动交互式命令提示和 IPConfig 等远程启用工具;

使用 Autoruns 可对进程、服务、启动项等进行检测;

使用 procdump,可对内存进行获取等。


2.PCHunter 是一个强大的内核级监控工具,可以查看进程、驱动模块、内核、网络、注册表、文件等信息。与 PCHunter 功能相似的还有火绒剑、PowerTool 等。


3.Process Monitor 可以监控程序的各种操作,其中主要监控程序的文件系统、注册表、进程、网络、分析。由于 Process Monitor 监控的是系统中所有程序的行为,数据量往往很大,因此为了方便分析数据,可以设置过滤选项。


4.Event Log Explorer 是一个检测系统安全的工具,可以查看、监视和分析日志事件,包括安全、系统、应用程序和其他 Windows 系统记录事件。


5.FullEventLogView 是一个轻量级的日志检索工具,能够显示并查看 Windows 系统事件日志的详细信息,可以查看本地计算机的事件,也可以查看远程计算机的事件,并可将事件导出为 text、csv、tab-delimited、html、xml 等格式文件。


6.Log Parser 是微软公司推出的日志分析工具,功能强大,使用简单,可以分析基于文本的日志文件、xml 格式文件、csv(逗号分隔符)格式文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询、分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。


7.ThreatHunting 是观星实验室开发的工具,可以对日志、进程、Webshell 等进行检测。


8.WinPrefetchView 是一个预读文件(Prefetch 文件)查看器,用于读取储存在系统中的预读文件。


9.WifiHistoryView 是一个自动读取系统里无线网络连接记录的工具,运行后可以查看连接的时间、事件发生的类型、所用到的网卡、连接上的网络 SSID 名称、加密类型等信息。


发布于: 1 小时前阅读数: 4
用户头像

还未添加个人签名 2018.11.30 加入

还未添加个人简介

评论

发布
暂无评论
网络攻防学习笔记 Day70