事前准备
0x01 操作系统基本配置¶
1. 开启显示隐藏文件和文件后缀¶
- Windows Server 2016
文件资源管理器 => 查看 => 勾选文件扩展名,隐藏的项目
- Windows 10
文件夹(文件资源管理器)=>查看=>勾选文件扩展名,隐藏的项目
- Windows 7
文件夹=>工具=>文件夹选项=>查看=>勾选显示隐藏的文件=>取消勾选隐藏已知文件类型的扩展名
0x02 工具准备¶
- 写保护 U 盘
- 数据盘
- 启动 U 盘
- Windows Server 系列虚拟机或镜像
- 建议同时准备 32 位工具,以应对 32 位操作系统
- 本手册,顺便也可以带上 《Linux 应急响应手册》
1. 排查工具¶
-
System Informer
-
OpenArk
-
火绒剑
-
D盾
-
Sysinternals Suite
-
Windows 调试工具集
https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/debugger-download-tools
-
编程语言解析环境
如果你的检查工具依赖于解释器,自行准备好,尽量避免使用受害主机上的环境
-
一套基本功能的小工具,类似于
busybox -
日志分析工具 (例如 FullEventLogView)
-
LastActivityView 最近活动记录查看器
-
Netsh (系统自带) 流量监控工具
-
Wireshark 流量分析工具
2. 杀毒工具¶
- 360
- 火绒
- 腾讯安全管家
- webshell 查杀工具
- D盾
- 安全狗
- 深信服-僵尸网络查杀工具
3. 漏洞验证工具¶
- Fscan
- Goby
- Nuclei
4. 编解码与文本对比工具¶
编解码&文本对比
- He3
5. 内网文件传输工具¶
- Localsend
6. 日常使用小工具¶
- Everything
- bandzip 或 360 压缩
- Edge 或 Chrome 浏览器
- 代码编辑器
- VSCode
- Sublime
- Editplus
7. 取证工具¶
- NOPTrace-Collector
- DumpIt