应急响应工具推荐

工具简介

对于应急响应事件，首要目标就是先梳理攻击链，并进行一系列的排查。一些良好的工具也成为应急响应里不可或缺的一件事。因为它能高效的辅助攻击链的梳理以及后门的发现。

适用场景

工具使用与应急响应，部分适用于window部分使用与Linux。

使用方法

webshell查杀

D盾：http://www.d99net.net/down/WebShellKill_V1.2.9.zip （windows）

threathunting：这个工具异常的强大，可以筛选日志，webshell查杀，等等，由于楼主没找到下载链接，只能通过私聊楼主获得哦。

河马：https://www.shellpub.com/ （window，linux）

rkhunter：https://sourceforge.net/projects/rkhunter/files/（linux）

病毒查杀

杀软就够解决刚需，但是楼主比较推荐卡巴斯基和火绒，不为别的，就是感觉研究免杀的人第一个就要先过360。

辅助工具

everything：https://everything.en.softonic.com/（windows）基于名称快速定位文件和文件夹。 轻量安装文件 干净简洁的用户界面 快速文件索引 快速搜索 最小资源使用 便于文件分享。

winhex：http://www.x-ways.net/winhex/（windows）是一个专门用来对付各种日常紧急情况的工具。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。

regshot: https://regshot.en.softonic.com/ (windows)是一款可以监控注册表改动的小工具,它可以生成注册表快照,方便用户在进行软件安装或是某项设置时,很快的找到注册表发生了什么变化,哪些注册表被改动,新建了什么注册表键值。

进程分析工具

火绒剑独立版：https://www.52pojie.cn/thread-1358235-1-1.html （windows）这个链接是吾爱破解的，下载需要币，如果嫌贵的同学可以直接下载火绒，附带的插件有。

PCHunter_free : http://www.xuetr.com/download/PCHunter_free.zip (windows) 一款非常不错系统信息查看工具,这款软件能够快速的查看到当前系统的进程信息,同时这款软件也是一款十分有效的杀毒软件,能够有效的进行电脑系统的病毒查杀

sysmon: https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon (windows) 是微软的一款轻量级的系统监控工具,被常常用来进行入侵检测分析,它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录。

流量分析工具

wireshark: https://wireshark.en.softonic.com/ (windows) 神器不解释。

TCPView: https://docs.microsoft.com/zh-cn/sysinternals/downloads/tcpview (windows) TCPView 是一Windows程序，用于显示系统上所有 TCP 和 UDP 终结点的详细列表，包括本地和远程地址以及 TCP 连接的状态。

启动项分析工具

Autoruns: https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns（windows） 此实用程序具有对任何启动监视器自动启动位置的最全面了解，其中显示了哪些程序被配置为在系统启动或登录期间运行，以及在启动各种内置 Windows 应用程序

eventlogexplorer: https://event-log-explorer.en.softonic.com/ (windows) 是一款检测系统安全的软件.查看,监视和分析系统事件记录,包括安全,系统,应用 程序和其他微软Windows 的记录被记载的事件

LogParser: https://www.microsoft.com/en-us/download/details.aspx?id=24659 (windows) 微软公司出品的日志分析工具，它功能强大，使用简单，可以分析基于文本的日志文件、XML 文件、CSV（逗号分隔符）文件，以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据，甚至可以把分析结果以各种图表的形式展现出来。

信息收集

Fastir_Collector: https://github.com/openspherelab/Fastir_Collector (windows，linux) 是一个信息收集工具，收集的东西揽括了所有你能想到的东西，不限于内存，注册表，文件信息等。