应急响应常用工具介绍

3.1

SysinternalsSuite:用于管理故障分析和诊断windows系统及应用程序
·TCP view可以查看网络连接情况
·PsExec可以在远程系统上启动交互式命令提示和IPconfig命令
·Autoruns可以对进程，服务，启动项进行检测
·使用procdump，可对内存进行获取

3.2

PcHunter/火绒剑/Powershell
·查看进程，驱动模块，内核，网络，注册表，文件等信息

3.3

Process Monitor：监控程序的文件系统注册表，进程，网络，分析

3.4

Event Log EXploer：是一个检测系统安全的工具，可以查看，监听和分析日志时事件

3.5

Full EventLog View：是日志检索工具

3.6

Log Parser：日志分析工具，功能强大，可分析基于文本，xml,csv格式文件以及各种系统数据，甚至可以展示以图标展示