【转】Windows常用工具
网安引领时代,弥天点亮未来
你不知道的Windows工具小技巧~~
耐心看下去吧~
01日志工具
1FullEventLogView FullEventLogView是一个用于Windows 10/8/7 / Vista的简单工具,它在表格中显示来自Windows事件日志的所有事件的详细信息,包括事件描述。它允许您查看本地计算机的事件,网络上远程计算机的事件以及存储在.evtx文件中的事件。它还允许您从GUI和命令行将事件列表导出到text / csv / tab-delimited / html / xml文件。
下载地址:
FullEventLogView(64位版本)
http://www.nirsoft.net/utils/fulleventlogview-x64.zip
简体中文语言包
http://www.nirsoft.net/utils/trans/fulleventlogview_schinese.zip
2系统要求
此实用程序适用于任何版本的Windows,从Windows Vista到Windows 10.支持32位和64位系统。对于Windows XP和较旧的系统,您可以使用MyEventViewer工具。(http://www.nirsoft.net/utils/my_event_viewer.html)
3使用方法
FullEventLogView不需要任何安装过程或其他DLL文件。要开始使用它,只需运行可执行文件 - FullEventLogView.exe运行FullEventLogView后,主窗口将加载并显示过去7天内的所有事件。您可以使用“高级选项”窗口更改默认的7天时间过滤器并设置其他过滤器(F9)。如果要从网络上的远程计算机或事件日志文件(.evtx)加载事件,则应使用“选择数据源”窗口(F7)。
下窗格显示模式,可以选择下窗格的显示模式,包括显示事件描述、显示事件数据和描述、显示事件XML。
高级选项,可以通过各类选项筛选所需要的信息
选择数据源,可以选择从本地计算机载入事件、从指定的远程计算机载入事件、从有日志文件的外部文件夹载入事件
02进程工具
https://security.tencent.com/index.php/opensource/down/16
2 功能分析
Process Monitor 不仅结合了 Filemon(文件监视器) 和 Regmon(注册表监视器) 两个工具的功能。
· 监视进程和线程的启动和退出,包括退出状态代码
· 监视映像 (DLL 和内核模式驱动程序) 加载
· 捕获更多输入输出参数操作
· 非破坏性的过滤器允许你自行定义而不会丢失任何捕获的数据
· 捕获每一个线程操作的堆栈,使得可以在许多情况下识别一个操作的根源
· 可靠捕获进程详细信息,包括映像路径、命令行、完整性、用户和会话ID
· 完全可以自定义任何事件的属性列
· 过滤器可以设置为任何数据条件,包括未在当前视图中显示的
· 高级的日志机制,可记录上千万的事件,数GB的日志数据
· 进程树工具显示所有进程的关系
· 原生的日志格式可将所有数据信息保存,让另一个Process Monitor实例
· 进程悬停提示,可方便的查看进程信息
· 详细的悬停提示信息让你方便的查看列中不能完整显示的信息
· 搜索可取消
· 系统引导时记录所有操作
3使用方法
启动程序后,process monitor会自动扫描当前程序运行情况
process monitor界面右上角的工具栏上的几个图标,他们分别表示注册表的读写、对文件的读写、网络的连接、进程和线程的调用和配置事件
重置过滤器:Filter-->Reset Filter
创建过滤器:Filter-->选择
第一个下拉框选路径,第二个选结束,第三个填写你感兴趣的文件后缀,如lnk。点Add--点OK
这时可以观察进程访问你电脑中那些资料。
03网络分析工具
1TCPView
windows网络分析最常用的Wireshark,网络教程也有很多这里就不说了 这里介绍另外一款网络工具tcpview。
TCPView工具是一款windows下的一款的TCP/UDP端口分析神器
可以看到直接显示了本地的所有网络连接 查看本地pid 什么协议 以及远程和本地端口以及状态 ,可以快速有效的看看本地的网络状态是否有异常。
下载地址:http://pcdown.ttrar.com/small/tcpviewzwb_ttrar.zip
2使用方法
这里需要关注的点是端口和状态,这里说一下这里状态代表什么
-
LISTENING:即端口的监听状态。处于这种状态的端口就是我们常说的监听端口,这种状态的端口一般由某个服务程序打开,等待其它主机来连接,因而这种端口又叫做服务端口。
-
ESTABLISHED:即端口的连接状态。如果处于监听状态的端口已和其它主机建立了连接,那么端口的“LISTENING”状态就会变为“ESTABLISHED”状态。
-
SYN_SENT:大多数情况下,我们的电脑会主动打开一个端口去连接其它机器,这时端口的状态就表现为“SYN_SENT”。处于这种状态的端口一般是由客户端程序打开,所以这种端口也叫做客户端口。客户端口如果和服务端口建立了连接,那么端口的状态就会由“SYN_SENT”状态变为“ESTABLISHED”状态。
-
TIME_WAIT:处于“ESTABLISHED”状态的端口,如果连接被结束,那么端口的状态就会变为“TIME_WAIT”状态,它表示该端口曾经被访问过,现在访问结束了。
小提示:在上述所有的端口状态中,监听状态的端口尤其值得注意,特别是1024以上的监听端口,很有可能就是木马服务端打开的服务端口。
进入可以进行追踪进程位置,以及结束进程 若看不惯窗口化进程还有命令行的形式Tcpvcon
04内存服务工具
1Process Explorer
由Sysinternals开发的Windows系统和应用程序监视工具,目前已并入微软旗下。不仅结合了Filemon(文件监视器)和Regmon(注册表监视器)两个工具的功能,还增加了多项重要的增强功能。包括稳定性和性能改进、强大的过滤选项、修正的进程树对话框(增加了进程存活时间图表)、可根据点击位置变换的右击菜单过滤条目、集成带源代码存储的堆栈跟踪对话框、更快的堆栈跟踪、可在 64位 Windows 上加载 32位 日志文件的能力、监视映像(DLL和内核模式驱动程序)加载、系统引导时记录所有操作等。
下载地址网上百度即可,安装都是windows图形化安装,一直点下一步就可以
2工具使用树形结构界面
1.准确的显示的进程的父子关系
2.通过颜色可以判断此进程处于的状态和类型,是挂起还是正在退出,是服务进程还是普通进程。
系统信息
右键单击标题栏-选择Select Columns项,选择你要观察进程的某种特定的信息,这里有几个选项,常用的有Process Image和Process Memory这两个选项卡,其他的我就不截图举例了!
1.显示进程的文件路径(Image Path)
2.显示进程命令行参数(Command Line)
3.显示进程是64位进程还是32位的(Image Type)
4.显示进程当前所在的Session ID(session ID)
5.显示进程当前的权限,是系统用户权限还是网络管理员权限还是普通管理员权限(User Name)
6.显示当前进程的Gdi对象个数,内核对象个数,线程个数。
显示当前进程所加载的DLL
选择View —> Lower Pane View —> DLLs
1.通过这种方式可以观察,我们的进程是否被其他程序注入DLL
2.通过这种方式了解当前进程使用了那些编程技术,如图可见当前进程用到了Gdi+
3.可以修改Pane View的选项卡,让其显示更多的内容,比如DLL基地址,DLL内存相关信息等
显示当前进程所占用的系统资源句柄
选择View —> Lower Pane View —> DLLs
1.查看当前进程所占用的资源句柄表
2.可以分析进程的逻辑:如图当前TeamViewer的服务进程创建了一个Event事件,并且占用一个Log文件
3.可以检查自己的程序是否有内核句柄泄露
操控进程以及显示进程的内部信息
右键单击进程(这类信息是属于当前进程的)
1.可以结束当前进程,或者当前进程树
2.可以挂起、重启、从挂其中恢复一个进程
3.查看进程信息(如图-选择Properties)
1.可以看到当前进程的用户组信息
2.可以看到当前进程申请了哪些特权
选择Environment选项卡,可以看到当前进程的环境变量,如果自动化编译或者使用一些开源软件,查看其环境变量是很重要的一环。
搜索功能(Ctrl+F)
为什么搜索功能单独拉出来说呢,我个人觉得这个功能在很多地方都可以用到,编码的时候可以查看哪个事件被谁占用了,你直接搜事件名称就可以了,如果你像删除一个目录怎么也删除不掉,就是说某某文件被人占用,那你可以搜索一下你需要删除的目录路径。
如图:TeamViewer这个文件夹正在被一个服务占用,这样我只需要把这个服务停止,就可以删除了,常见的还有U盘被占用不让卸载等等!
