【科普向】常用安全类辅助工具推荐
本帖最后由 翼风Fly 于 2022-1-18 00:34 编辑前言
这是我原先写自卡饭论坛的内容:
【科普向】常用辅助工具推荐(包含系统类等辅助工具) http://bbs.kafan.cn/thread-1852164-1-1.html
各个工具的使用方式,建议先自行搜索以便用更好的了解。大概是因为52论坛的安全机制,只有坛内的链接可以直接点击,大家可以自行操作打开。
已经下线&不再维护&失联&长期失去维护状态的,将移动至第2页。
本帖的思路:系统自带优先(勿轻视) >> 主流工具优先 >> 长期有效的工具优先 >> 不常用工具备用 >> 修改版备用 >> 地址为卡饭优先/官网优先
本帖尽力更新,有时间的话会补相关教程。
看无论52还是卡饭,原置顶推荐的辅助工具都比较旧,便做出本集合帖;同时配合版区环境,决定转载其中的安全工具部分并加以调整。完整内容可以看上面说的卡饭论坛的帖子
因我在写原帖时基于卡饭,里面有不少卡饭内的链接 —— 包括向卡饭网友的致谢,如果你发现有个莫名其妙的楼层&用户ID致谢,那么应该就是卡饭的了。等我找到对应的52链接后会找时间逐步完善。
本贴的发展进步,离不开大家的支持。
个人经验有限,也希望大家一起帮助补充完善!在此谢过!
同时感谢H大的支持与建议~
附原版区置顶帖:
主要工具集合贴-【删除修复】(2009年更新)
一些诊断报告的取得方法及常用删除工具(2009年更新)
原版本由于无法解锁,故新开此贴发布。旧版可见:
https://www.52pojie.cn/thread-418589-1-1.html
当前版本已经同步至 0.8.6
病毒扫描/救援 纯入门向
觉得中毒了但是自己的杀软没查出来?甚至自己的杀软被病毒干掉了?我们需要更好的扫描器。
360急救箱
电脑中毒了怎么办?先用360的急救箱试试。联网后将接入360云,可对威胁进行更完整的识别。
http://www.360.cn/jijiuxiang/
Dr.Web CureIt!
大蜘蛛的绿色扫描器,下载后即具备当然的完整病毒库。若需新版,重新下载即可。
https://free.drweb.cn/download+cureit+free/
下载直达:
http://download.geo.drweb.com/pub/drweb/cureit/cureit.exe
[*]【自己提取key,打造可升级Dr.web Cureit!】http://bbs.kafan.cn/thread-1785333-1-1.html (感谢90楼1312773569分享)
注意:新版CureIT已经没有了.key的扩展名文件,密钥为一个2KB无扩展名文件,其他与原帖说明相同;原帖主程序使用的为6.0老版本。
2019-6-23补充:
Dr.Web CureIt! 的key文件提取:用7-Zip或WinRAR打开cureit.exe这个文件,可以看到文件setup.key,这个就是想要的key文件。
感谢286楼 @z--
[*]百度百科:http://baike.baidu.com/view/1228752.htm
备用
[*]ESET Online ScannerESET 官方提供的免费纯扫描工具
中国:http://download.eset.com.cn/download/detail/?product=EOS
国际站:https://www.eset.com/hk/home/online-scanner/
说明文档:https://help.eset.com/eos/zh-CN/
感谢 255 楼 阿拉布 的及时提醒。
[*]卡巴斯基安全工具
http://free.kaspersky.com/zh
卡巴斯基免费版 :不多说;
Kaspersky Security Scan:卡巴提供的免费扫描工具,但是没有修复功能;
Kaspersky Virus Removal Tool:病毒清除工具。
[*]诺顿强力清除器
https://support.norton.com/sp/static/external/tools/npe.html?NUCLANG=zh-cn
铁壳提供的病毒急救箱。
[*]更多扫描器可见
各大杀软自家的急救箱or扫描器: https://bbs.kafan.cn/thread-2225013-1-1.html
在线扫描工具
不知道刚刚下载的文件是否安全?
可疑文件在线扫描(适合扫描一个或几个文件):
[*]VirusTotal
http://www.virustotal.com/
更新更及时,厂商数量多,提供病毒样本统计等交流平台,包含行为分析。但是在谷歌旗下,国内可能不能正常访问,详细的行为分析报告等同理。
[*]VirSCAN
http://virscan.org/
数十款杀软扫描报告,国内可正常使用。但其病毒库更新比较滞后。
腾讯哈勃为其提供行为分析。
[*]Jotti
https://virusscan.jotti.org/
病毒库更新及时,国内可正常使用。但杀软数量较少。
感谢148楼 学雷锋做人 的说明。
[*]Online Link Scan
http://onlinelinkscan.com/
直接将下载链接放在这里,即可自动扫描并提供结果。
感谢 ericdj 推荐。
更多扫描可见:
[*]免费党评测2015年11款在线病毒扫描 http://bbs.kafan.cn/thread-1859740-1-1.html
[*]免费党评测2015年23款免费按需病毒扫描器 http://bbs.kafan.cn/thread-1859749-1-1.html
信息分析/日志记录 应急入门向
电脑遇到问题不知该如何解决?可自行分析日志,或将日志上传,让大家帮忙分析。
Windows事件查看器
排除问题的必备工具。请见此贴:
http://bbs.kafan.cn/thread-1850009-1-1.html
ESET SysInspector
中国站(更新不及时):http://download.eset.com.cn/download/detail/?product=sysinspector
国际站:https://www.eset.com/hk/support/sysinspector/
说明文档:https://help.eset.com/esi/1/zh-CN/
非常详尽的系统安全信息分析,左上角可根据安全等级筛选。对于安全问题,可导出日志后求助。
导出日志方式:
https://attach.52pojie.cn/forum/201510/09/113303l9qaszupi9v5oovz.png
为了尽可能减少提交日志带来的隐私困扰,你可以这样:
[*]右上角“文件”→生成→适用于进行发送,SysInspector将重新分析;
[*]文件 → 保存日志;
[*]将日志上传到要求助的区域。
备用
[*]PC Hunter
后面有介绍,不在多述。其中有“电脑体检”可导出日志信息。
[*]系统信息
运行:msinfo32
用于排查系统软件及硬件问题
[*]AutoRuns
【官网】https://technet.microsoft.com/en-us/sysinternals/bb963902
【爱盘】http://down.52pojie.cn/Tools/Anti_Rootkit/Autoruns.exe
微软Sysinternals出品的非常详尽、强大的启动项分析工具。在比较有经验的情况下,该工具可帮助你揪出可疑启动项。感谢12楼lixihong10提醒。
汉化版请自行搜寻。
[*]HiJackThis
http://sourceforge.net/projects/hjt/
知名开源的安全检查软件,趋势旗下,可导出日志。但趋势已经放弃该项目,并推荐一个Github的个人维护分支:
https://github.com/dragokas/hijackthis/
[*]FreeFixer
http://www.freefixer.com/
将各种可疑项目分析后列出,帮助解决问题。
简介:http://bbs.kafan.cn/thread-1854362-1-1.html
感谢96楼 小老虎t 推荐
进程类工具(含ARK工具) 进阶向
Windows进程管理器
打开方式:
[*]Ctrl+Shift+Esc
XP及以上系统均为此快捷键
[*]右击 任务栏 空白处 —— 任务管理器
注意:大家常说的 Ctrl+Shift+Del 在Vista之后为:安全桌面,可进行锁屏/关机/紧急重启.
Win8/10的任务管理器 已经比较强大,例如优秀的视图展现/可修改开机启动、服务 等。
ARK类工具
此类工具的使用需要有一定的知识经验,用于手工杀毒/系统与软件分析 等情况
PC Hunter
产品官网:https://www.anxinsec.com/view/antirootkit/
作者个人站点:http://www.xuetr.com/
52发布地址:http://www.52pojie.cn/thread-35336-1-1.html
爱盘下载:
(新版)https://down.52pojie.cn/Tools/Anti_Rootkit/PCHunter_v1.57.zip
(旧版)http://down.52pojie.cn/Tools/Anti_Rootkit/PCHunter_free.zip
主流工具,教程很多,如:http://jingyan.baidu.com/album/36d6ed1f5ebae61bce488360.html
附吾爱破解论坛的下载链接(爱盘) —— 请遵循爱盘下载要求进行:
http://down.52pojie.cn/Tools/Anti_Rootkit/
2019年,作者Linxer(姚纪卫)创业,创立了“安芯网盾”,需要在其官网填写信息下载。
http://www.xuetr.com/?p=292
OpenArk
官网:http://openark.blackint3.com/
仓库地址:https://github.com/BlackINT3/OpenArk/
中文说明:https://github.com/BlackINT3/OpenArk/blob/master/doc/README-zh.md
一款开源的 ARK 工具,含中文,支持 Win XP 及之后的各种 Windows 版本。功能具有自己的特色,是一个不错的 ARK 工具。
感谢 @00006666 的推荐
PYArk
官网:https://pysafe.cn/
仓库地址:https://github.com/antiwar3/py
同样感谢@00006666 的推荐
WIN64AST 类ARK工具 不再更新维护 Win7之前可考虑
http://bbs.kafan.cn/thread-1426416-1-1.html
可在Win10 x64下一定程度代替PC Hunter
官方宣布停止更新,早于Win10的64位系统可以考虑,将视情况移入历史贴中。官方推荐的代替工具为:Process Explorer、Process Hacker、Windows Kernel Explorer
其他
[*]Windows资源监视器
非常不错的查看系统资源的工具。如果你是Win7,眼馋Win8/10的任务管理器,或者想查出硬盘/网络/内存等等资源占用情况,就用这个吧。详情查看我维护的百度百科词条:
http://baike.baidu.com/item/Windows资源监视器
建议网上搜索教程了解。
[*]火绒剑
在下方行为监视 分类继续提及,此处不多述。
[*]Process Explorer微软旗下Sysinternals 系列工具之一
非常强大,可追踪窗口定位进程;网上有汉化版
【官方站点】https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer
【官方下载】https://download.sysinternals.com/files/ProcessExplorer.zip
【爱盘】http://down.52pojie.cn/Tools/Anti_Rootkit/Procexp.exe
[*]Process Hacker
同上,但是定位不同,自有特色。这一款免费、开源、多用途、超级强大的进程查看管理、系统监视和内存编辑工具,支持查看管理进程、服务、线程、模块、句柄以及内存区域数据等。可帮助您监视系统资源,调试软件和检测恶意软件。感谢推荐:85683213
【汉化】(感谢35楼livethings 提醒)http://bbs.kafan.cn/thread-1832488-1-1.html
【官网】http://processhacker.sourceforge.net/
[*]Windows Kernel Explorer 英文
https://github.com/AxtMueller/Windows-Kernel-Explorer
虽然在Github发布,但作者并未计划开源,可运行在WinXP ~ 最新Win10 系统。
注意其中的一些说明,比如:
[*]自动下载符号文件(symbol files)以支持当前系统;
[*]可通过设置功能进行调整,如果你对程序改名也需要将匹配的SYS/DAT/INI文件改为相同的名字;
[*]无数字签名,会被杀毒软件提示;
[*]可能需要通过关闭安全引导(Secure boot)以正常运行。
[*]OpenedFilesView
http://www.nirsoft.net/utils/opened_files_view.html
和Unlocker相比,更适合开发/安全,可获得非常详细的内容,如:句柄,被操作文件名称,操作进程,读写权限,等等。nirsoft出品。感谢12楼 lixihong10分享。
说明介绍:http://www.ithome.com/html/soft/7881.htm
[*]窗口定位 / 任务栏图标定位工具
ViewWizard:寻找窗口来源,句柄查看工具;
Anvir Task Manager:一款不错的任务管理器,可定位任务栏图标所在进程。
详见:http://bbs.kafan.cn/thread-1851313-1-1.html
行为监视 进阶向
这个进程都在干了些什么?用这些工具便可实时监测。
此处不讨论HIPS工具。
Process Monitor
微软旗下Sysinternals 系列工具之一,实时监视任意多个进程的操作,包括注册表/文件,记录非常详尽。当年3Q大战时,用来制造舆论的“保镖”就是这个的精简版。汉化版请自行搜寻。
【官网】https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
【官方下载】https://download.sysinternals.com/files/ProcessMonitor.zip
【爱盘】:http://down.52pojie.cn/Tools/Anti_Rootkit/Procmon.exe
教程举例:http://blog.sina.com.cn/s/blog_591a2c9401009cmb.html
火绒剑
火绒不必多说,这是火绒成立之初的工具。除了可实时监视进程操作外,也有其他和PC Hunter等工具差不多的功能。
官方已经停止单独下载,需安装火绒安全软件方可获得。如果你需要一个独立版,可参考:https://bbs.kafan.cn/thread-2177144-1-1.html (感谢@Jomye )
【说明】http://bbs.kafan.cn/thread-1356773-1-1.html
Uninstall Tool 简单清晰的行为监控 30天试用
监控信息相比上述2个工具更加小巧易读,适合入门或要求不高的分析。从名字上看这是软件卸载工具。。。。没错这就是软件卸载工具!!!我们是利用其软件安装监视的功能实现我们的需要。收费软件。感谢 16楼 lixihong10 推荐。
【官网】http://www.crystalidea.com/uninstall-tool多国语言,安装后自动转为中文。
另:其他卸载软件,如Total Uninstall,但其是通过快照比对的方式,其侦测结果可能受其他进程影响,暂不建议用于行为监控。
上图:
https://attach.52pojie.cn/forum/201510/09/113630bh3zjq0dmuu1u0da.png
https://attach.52pojie.cn/forum/201510/09/113631cn5y9a8nay0ttazv.png
在线分析
【推荐优先阅读】
在线分析工具的重新评测(2020年1月)
https://www.52pojie.cn/thread-871410-1-1.html
关于反沙箱/反虚拟机检测(本文以此作为排序依据)
https://bbs.kafan.cn/thread-2181869-1-1.html
作者:@Jerry.Lin
完整列表见上述链接,此处仅部分列举部分工具。
国内:
各有优势,可同时配合使用。
[*]微步
https://s.threatbook.cn/
原 VirusBookhttps://www.virusbook.cn/
非常有特点的在线分析工具,包含网站、IP/文件等分析,注重可视化。感谢 ericdj 推荐。
[*]魔盾安全分析
https://www.maldun.com/
信息分析的相对较为灵活,信息也比较独到丰富。
感谢 @BBBDDD
[*]哈勃(腾讯)
https://habo.qq.com/
优点:分析快速,信息丰富;VirusScan的行为分析便是对接于此;高级账户可以获取更多细节。
国外:
[*]Any Run
https://app.any.run/
感谢 @冰晶淑女
[*]hybrid-analysis
https://www.hybrid-analysis.com/
微步许多地方与其相像,网站分析,行为分析,都挺详尽,而且提供其他在线分析少有提供的信息,还有很多很多。。。可视化也是棒棒哒。只是,可能上不去。。。
【附】经常提到的两个合集
[*]Sysinternals
微软出品的系统小工具合集。像说到的ProcessExplorer、ProcessMonitor等均出自此处。
【官网】https://docs.microsoft.com/en-us/sysinternals/
【介绍】http://baike.baidu.com/view/1242320.htm
【爱盘】https://down.52pojie.cn/Tools/Anti_Rootkit/SysinternalsSuite.zip
[*]Nirsoft
出品了大量系统小工具,多国语言,如我以前说到的蓝屏速查软件BlueScreenView。
【官网】http://www.nirsoft.net/
【介绍】http://bbs.kafan.cn/thread-281883-1-1.html
网络抓包分析 进阶向
感谢210楼 大金鱼先生 分享。
Wireshark
http://www.wireshark.org/
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
Fiddler
https://www.telerik.com/fiddler
某度百科:http协议调试代{过}{滤}理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据(指cookie,html,js,css等文件)。
官网下载需要填写一些信息。
SmartSniff
SmartSniff 是一款 TCP/IP 数据包捕获软件,允许你检查网络传输的数据信息。
该软件的双层界面显示了捕获的数据包和在 ASCII 或者十六进制格式下的详细的信息。
额外的功能包括本地和远程传输的彩色代码,导出到 HTML 以及更多功能。
SmartSniff 可以用于 Windows 2000/XP Raw Sockets 或者用于其它的 Windows 版本的 WinPcap.这是一款基本的,但是非常小且独立的协议分析软件。
已经下线工具:
纯粹用来纪念了。本部分内容为,原主贴进行过推荐,但如今已经凉凉的工具。
内容推荐
卡饭的 安全软件推荐:http://s.kafan.cn/anquan.html/ 卡饭安静软件推荐:http://s.kafan.cn/anjing.html/ 卡饭上方导航“软件推荐”按钮
ARK
PowerTool ARK工具 多年无更新Win7之前可考虑
作者:ithurricane
http://www.52pojie.cn/thread-443523-1-1.html
【爱盘】https://down.52pojie.cn/Tools/Anti_Rootkit/PowerTool_20160308_CN.zip
【工具主页】http://powertool.s601.xrea.com/
微博:http://weibo.com/powertool
个人站(可在此下载,注意选中国的站点):https://about.me/ithurricanept
感谢68楼funken告知。
自2016年没有过更新,Win7可以考虑
32位版:http://www.52pojie.cn/thread-42469-1-1.html
64位版:http://www.52pojie.cn/thread-147704-1-1.html
在线分析工具
[*]火眼(金山)
fireeye.ijinshan.com/
优点:分析环境配置切合大众,近期重心偏向移动端;
缺点:分析时间长,PC端样本分析暂时不如上述两家。
国内最早一批的公开的在线沙盘,也是金山曾大力宣传的;不过似乎已经不再重视公开分析了,包括官方群、论坛等均废。
[*]文件B超(翰海源,阿里巴巴)
https://b-chao.com/
优点:分析快速,图文显示行为逻辑,一些样本类型有更好的分析结果;
被收购后一段时间后,被废
[*]金刚恶意软件智能分析系统
http://www.tcasoft.com/
中国科学院软件研究所出品。
[*]Comodo Instant MalwareAnalysis
【官网】http://camas.comodo.com/
【教程】http://bbs.kafan.cn/thread-968044-1-1.html
更名 Application Containment 被合并在网络安全服务中,不再提供网页分析。
—— https://www.52pojie.cn/ @ThomasvH
[*]ThreatExpert
http://www.threatexpert.com/submit.aspx
更名 Symantec Malware Analysis 被合并在网络安全服务中,不再提供网页分析。
—— https://www.52pojie.cn/ @ThomasvH
[*]Anubis
http://anubis.iseclab.org/
凉了
上一级网页宣称了其存在,然而没反应
同网站有一个软件lastline,包含了沙盒功能
—— https://www.52pojie.cn/ @ThomasvH
[*]CWSandbox
http://www.sunbeltsecurity.com/sandbox/
合并为 Threattrack,沙盒Malware Analysis作为其中一个服务,不再提供网页分析
—— https://www.52pojie.cn/ @ThomasvH
扫描
[*]金山系
下线公告:http://bbs.duba.net/thread-4191272660-1-1.html
急救箱:效果一般,建议仅在360急救箱无效之下采用。
http://www.ijinshan.com/jjx/
顽固木马专杀:金山急救箱被废或效果不好的金山系工具,检查手段会更加特殊。
http://www.ijinshan.com/zhuansha/wangubingdumuma/index.shtml
[*]ESET扫描器 作者:lixihong10
http://bbs.kafan.cn/thread-1702419-1-1.html
病毒库停止更新了...
[*]Phrozen VirusTotal Uploader
http://bbs.kafan.cn/thread-1728111-1-1.html
[*]其他:
http://bbs.kafan.cn/thread-1803648-1-1.html
行为
[*]进程截杀器 作者:zhq445078388
http://bbs.kafan.cn/thread-1339148-1-1.html
官方介绍:进程清理,网络加速.让您的电脑.一键如飞
[*]Wtool 作者:jinfu
http://bbs.kafan.cn/thread-1473074-1-1.html
一款默认无驱动的类似于PC Hunter的工具。尽管因无驱导致功力不如上面两个工具,但有效规避了驱动作废带来的不可用等一系列问题;且常用的该工具都已经涵盖。PC Hunter不支持Win10的原因也因受制于驱动。在进行钩子的检测时会加驱;Win10 x86测试部分常用功能,进程列表不太正常,期待更新完善。
历史记录:
0.8.7 - 2022-01-12
[*]更新扫描工具
0.8.6 - 2020-08-22
[*]调整ARK工具说明:PCHunter,增加Windows Kernel Explorer;移入历史页:PowerTool ;
[*]调整部分已经更换的链接,如微软系;
[*]调整在线分析工具部分;
[*]更新2楼(非安全相关工具),开始更新、拆分内容。后续计划将2楼内容完全拆至其他对应版区;
[*]其他部分内容说明。
imshell8 发表于 2022-4-2 03:14
请问弹窗定位到某个进程的软体吗?
15年我写过一帖子,可供参考
https://bbs.kafan.cn/thread-1851313-1-1.html
正文中的 Process Explorer 可以考虑一下
很好的帖子,学习了。
有没有什么办法,能自动检测流氓软件的安装,还有流氓软件入侵后如何干净的卸载,找出隐藏进程与服务之类的,这个好像还没有一个比较详细全面的教程。 很实用的专业工具,赞赞赞 多谢楼主,十分有用 很全面
很实用的专业工具。嗯嗯 很全面
很实用的专业工具,thks 很实用的工具,收藏 谢谢但是小白看不太懂所以我要检测下载的文件要下哪个?
实用的工具,收藏 谢谢分享,但是小白看不太懂先收藏拉~ 很实用的工具,感谢无私分享