Accesschk.exe
command line interface, 用來檢察檔案的權限
AccessEnum
Gui interface, 針對特定檔案, 資料夾或registry去掃描哪個帳號有權限讀或寫
Autoruns
有GUI和command line interface, 可掃描開機自動開啟項目, 惡意程式被植入後常常
會設定自己於開機項目中, 通常這是檢查惡意程式的第一步
whois
command line, 用來查詢domain name的工具, 但似乎nslookup比較好用, 在分析網路封包時會常常用到
strings
command line, 可用來dump binary file中的unicode或ASCII字串, 常常用來檢視惡意程式
或檔案中是否有寫死字串, 例如惡意網址等, 若要在files中搜尋特定字串, 可用以下命令
strings * | findstr /i TextToSearchFor
Sigcheck
command line, 用來驗證檔案之簽章及其版本, 可用以下命令來搜尋/WINDOWS/system32未簽章的檔案
sigcheck -u -e c:\windows\system32
TCPview
GUI介面, 列出所有TCP與UDP連結的local和remote位址與狀態、process ID等, 常用來檢視
正在運行電腦的網路狀況, 是否有怪異process一直有TCP或UDP連結等, 可能是惡意程式所建立
的process, TCPvcon與TCPview功能相似, 但為command line介面較不方便
ShareEnum
GUI介面, 可列出網路共享資訊, 網路共享也可能是惡意程式的進入管道, 故檢查共享也是必要的
RookitRevealer
GUI介面, 可列出硬碟與registry中可能的rootkit, 但我每此都執行失敗囧 不知道是甚麼原因
command line interface, 用來檢察檔案的權限
AccessEnum
Gui interface, 針對特定檔案, 資料夾或registry去掃描哪個帳號有權限讀或寫
Autoruns
有GUI和command line interface, 可掃描開機自動開啟項目, 惡意程式被植入後常常
會設定自己於開機項目中, 通常這是檢查惡意程式的第一步
whois
command line, 用來查詢domain name的工具, 但似乎nslookup比較好用, 在分析網路封包時會常常用到
strings
command line, 可用來dump binary file中的unicode或ASCII字串, 常常用來檢視惡意程式
或檔案中是否有寫死字串, 例如惡意網址等, 若要在files中搜尋特定字串, 可用以下命令
strings * | findstr /i TextToSearchFor
Sigcheck
command line, 用來驗證檔案之簽章及其版本, 可用以下命令來搜尋/WINDOWS/system32未簽章的檔案
sigcheck -u -e c:\windows\system32
TCPview
GUI介面, 列出所有TCP與UDP連結的local和remote位址與狀態、process ID等, 常用來檢視
正在運行電腦的網路狀況, 是否有怪異process一直有TCP或UDP連結等, 可能是惡意程式所建立
的process, TCPvcon與TCPview功能相似, 但為command line介面較不方便
ShareEnum
GUI介面, 可列出網路共享資訊, 網路共享也可能是惡意程式的進入管道, 故檢查共享也是必要的
RookitRevealer
GUI介面, 可列出硬碟與registry中可能的rootkit, 但我每此都執行失敗囧 不知道是甚麼原因
留言
張貼留言