1. 首頁 > 生活 > >

md5怎么使用方法 md5使用教程

小知識md5使用教程



文章插圖
md5怎么使用方法 md5使用教程

文章插圖
【md5怎么使用方法 md5使用教程】分享幾款應急響應常用工具,這些都是以前在工作中用到的,如果需要哪個工具,可以評論區里留言并附帶郵箱,每天晚上9-10點查看,如果朋友們需要的工具我有留檔,一定會發送
備注:我的工具可能不是最新的,但是用著比較順手
1 進程分析工具
1.1 ProcessHacker功能:ProcessHacker是一款不錯的進程分析工具,可查看所有進程信息,包括進程加載的dll、進程打開的文件、進程讀寫的注冊表……,也可以將特定進程的內存空間Dump到本地,此外還可以查看網絡連接 。工具截圖如下:
注:查看具體進程的詳細信息,雙擊Processes列表中的進程名字即可 。
1.2 ProcessExplorer功能:ProcessExplorer是一款不錯的進程分析工具,微軟官方推薦工具,穩定性和兼容性相對不錯 。可查看所有進程的信息,包括其加載的dll、創建的線程、網絡連接……,同樣可以Dump出進程的內存空間到本地 。
1.3 ProcessMonitor功能:ProcessMonitor是一款實時刷新的進程信息監控工具,微軟官方推薦工具,穩定性和兼容性也是相對出色 。展示的信息很全面,且每一個打開的句柄、注冊表、網絡連接……都與具體的進程關聯起來 。
1.4 XueTr功能:XueTr(官網www.xuetr.com)是一個Windows系統信息查看軟件,可協助排查木馬、后門等病毒,功能包含:
1.進程、線程、進程模塊、進程窗口、進程內存、定時器、熱鍵信息查看,殺進程、殺線程、卸載模塊等功能2.內核驅動模塊查看,支持內核驅動模塊的內存拷貝3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看,并能檢測和恢復ssdt hook和inline hook4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持對這些Notify Routine的刪除5.端口信息查看6.查看消息鉤子7.內核模塊的iat、eat、inline hook、patches檢測和恢復8.磁盤、卷、鍵盤、網絡層等過濾驅動檢測,并支持刪除9.注冊表編輯10.進程iat、eat、inline hook、patches檢測和恢復11.文件系統查看,支持基本的文件操作12.查看(編輯)IE插件、SPI、啟動項、服務、Host文件、映像劫持、文件關聯、系統防火墻規則、IME13.ObjectType Hook檢測和恢復14.DPC定時器檢測和刪除15.MBR Rootkit檢測和修復16.內核對象劫持檢測17.其它一些手工殺毒時需要用到的功能,如修復LSP、修復安全模式等
1.5 PCHunter功能:XueTr的增強版,功能和XueTr差不多,可參考上圖 。推薦更多使用PCHunter,減少出故障的概率 。
1.6 ProcessDump功能:可對指定的進程,將其進程空間內的所有模塊單獨Dump出來,甚至可Dump出隱藏的模塊(即進程加載的dll,這里通常是被注入) 。
注:這是個命令行工具 。
1.7 PsTools功能:PsTools是命令行工具集,微軟官方推薦,功能多而全,其涵蓋的子功能(命令)如下:
2 流量分析工具
2.1 Wireshark功能:Wireshark是一款常用的網絡抓包工具,同時也可以用于流量分析 。
2.2 科來網絡分析功能:科來公司的一款流量分析工具,對比Wireshark要相對易用些(特別是流量分析入門人員),此外,該工具會自動將流量進行歸類和統計 。在某種意味上,還是比較方便的 。
2.3 TCPView功能:查看系統的網絡連接詳情,每一條連接對應的進程、協議、進程、源目地址、源目端口、連接狀態……總之,可展示當前活躍連接的所有詳細信息 。
3 啟動項分析工具
3.1 AutoRuns功能:一款不錯的啟動項分析工具,微軟官方推薦 。只要涉及到啟動項相關的信息,事無巨細,通通都可以查詢得到,非常方便找到病毒的啟動項 。
4 信息收集工具
4.1 FastIR功能:收集操作系統的關鍵日志、關鍵信息,方便后續取證和排查分析 。
4.2 BrowsingHistoryView功能:收集瀏覽器的歷史記錄,方便追溯域名、URL的訪問來源是否源自于用戶行為 。
5 輔助工具
5.1 Hash功能:文件hash計算工具,可計算文件MD5、SHA1、CRC值,可用于輔助判斷文件是否被篡改,或者使用哈希值到威脅情報網站查看是否為惡意文件 。
5.2 ntfsdir功能:病毒也有可能是以創建服務啟動項的方式保持長久運行,點擊Autoruns的Services功能,如下圖,檢查是否有異常的服務啟動項 。
5.3 Unlocker功能:可對難以刪除的文件進行強制刪除(包括鎖定的文件),需安裝,安裝后右鍵菜單”Unlocker“即可彈出如下界面:
6 Webshell查殺工具
6.1 wscan功能:深信服自研的一款Webshell查殺工具 。
6.2 D盾功能:D盾是迪元素科技的一款Webshell查殺工具 。
7 專殺工具
7.1 飛客蠕蟲專殺功能:專門針對飛客蠕蟲病毒進行查殺的工具 。飛客蠕蟲專殺工具有kidokiller(卡巴斯基出品)、TMCleanTool(趨勢科技出品) 。Kidokiller運行截圖如下,紅色方框的所有0值表明沒有中飛客蠕蟲,如果有非0值,即說明中了飛客蠕蟲 。
TMCleanTool的運行截圖如下,有威脅項即表明中了飛客蠕蟲 。
7.2 Ramnit專殺功能:專門針對Ramnit類家族病毒進行查殺的工具 。FxRamnit是賽門鐵克出品的Ramnit專殺工具,其運行界面如下,點擊”Start“按鈕即可:
注:由于Ramnit是全盤感染性病毒,故此專殺工具運行時間比較長,需耐心等待(FxRamnit常常給人一種”假死“的感覺) 。