文章插图
“工欲善其事,必先利其器 。”
在深信服安全团队整理的常用工具的基础上,又添加了一批实用工具包括:调试反汇编工具、应急工具、流量分析工具和WebShell查杀工具,希望可以帮助到一些安全行业的朋友 。
PE工具篇PETools
PETools 是一款免费的PE文件编辑工具 。PEditor 功能有转存进程、检测可执行文件加壳类型、在SoftICE中插入中断、编辑PE文件的导入表、节表、重建校验和、重建程序等,其自带了一个签名管理程序可自己添加更多的壳类型来让 PETools 识别,支持插件,并带有插件编写示例,你也可以自己开发需要的插件 。
文章插图
PEiD
一款著名的PE侦壳工具,可以检测PE常见的一些壳,但是目前已经无法从官网获得:
文章插图
EXEInfoPE
PE侦壳工具,PEiD的加强版,可以查看EXE/DLL文件编译器信息、是否加壳、入口点地址、输出表/输入表等等PE信息:
文章插图
下载地址:http://www.exeinfo.xn.pl/
DetectIt Easy
开源的PE侦壳工具,是一个跨平台的应用程序,有windows、linux、mac OS多个可用版本:
文章插图
下载地址:http://ntinfo.biz/index.html
CFFExplorer
一款优秀的PE32 &PE64编辑工具,可以方便的查看及编辑PE文件 。完全支持.NET文件格式:
文章插图
下载地址:https://ntcore.com/?page_id=388
StudyPE
PE32 & PE64 查看分析集成工具,具有强大的PE结构处理分析功能,在查壳方面功能略显薄弱:
文章插图
下载地址:https://bbs.pediy.com/thread-246459-1.htm
调试/反编译工具篇OllyDbg
Ring3级调试器,支持插件扩展功能,唯一不足的是OD是一个32位调试器,不支持调试64位程序 。官方给出的原版程序是无插件的,有需要的童鞋可以在吾爱破解论坛自行搜索:
文章插图
下载地址:http://www.ollydbg.de/
WinDbg
支持Windows平台,用户态和内核态的调试器,有图形界面和命令行两种调试方式 。其强大的内核调试功能收获了众多的追捧者:
文章插图
下载地址:https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/debugger-download-tools
x32dbg/x64dbg
一款开源的调试器,从界面和操作使用和OD相似,支持32位和64位应用程序的调试 。解决了OD对64位应用程序调试上的缺陷:
文章插图
下载地址:https://x64dbg.com/#start
DNSpy
一款针对.NET程序的开源逆向程序的工具 。包含了反汇编器,调试器和汇编编辑器等功能组件,支持插件功能:
文章插图
下载地址:https://github.com/0xd4d/dnSpy
IDAPro
全称:InteractiveDisassembler Professional,交互式反汇编器专业版,目前最棒的静态反编译工具,是众多安全人士的首选:
文章插图
下载地址:https://www.hex-rays.com/products/ida/
VB Decompiler
针对Visual Basic 5.0/6.0开发的程序的反编译器:
文章插图
下载地址:https://www.vb-decompiler.org/products/cn.htm
应急工具篇日志相关
Sysmon
WindowsSysinternals出品的一款Sysinternals系列中的工具 。它以系统服务和设备驱动程序的方法安装在系统上,并保持常驻性 。用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息:
文章插图
下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
推荐阅读
- 奢侈品马桶 史上最贵的马桶
- 历史上云南哪种茶叶是贡茶
- 大禹岭高冷茶泡法,最全黑茶的泡法专业泡法教给您
- 给macOS系统下Parallels虚拟机Windows添加更多物理磁盘
- 1842年我国历史上第一个丧权辱国的不平等条约 中国历史上第一个不平等条约是南京条约吗
- 你知道茶在历史上是什么样子吗
- 最全面的Python装饰器教程了
- 手机游戏|可能是史上最高清的“传奇”:传奇IP续作《传奇天下》将由虚幻4打造
- macOS和Windows的使用区别之软件安装和卸载
- 从 Windows 到 Mac:这份指南让你快速上手、轻松入门