windows下分析恶意代码工具列表
windows工具
盡量從官網(wǎng)下載工具
工具
火絨劍
Resource Hacker
使用Resource Hacker來(lái)查看資源節(jié)
Windows?應(yīng)用程序的免費(fèi)資源編譯器和反編譯器
http://www.angusj.com/resourcehacker/
Process Monitor
Process Monitor是Windows的高級(jí)監(jiān)視工具,可顯示實(shí)時(shí)文件系統(tǒng),注冊(cè)表和進(jìn)程/線程活動(dòng)。微軟官方出品
進(jìn)程監(jiān)視器-Windows Sysinternals | 微軟文檔
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
Process Explorer v16.30
https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer
Process Hacker
監(jiān)視系統(tǒng)資源,調(diào)試軟件和檢測(cè)惡意軟件。
和ProcessExplorer有點(diǎn)像。
官網(wǎng):Overview - Process Hacker
https://processhacker.sourceforge.io/
CFF
查看PE文件
下載– NTCore
https://ntcore.com/?page_id=345
exeinfope
查殼
調(diào)試器
IDA
IDAPython腳本
IDA插件:FindCrypt2查找加密算法的常量
IDA的熵指插件:ida-ent.plw
Windbg
https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/debugger-download-tools
開(kāi)始菜單-》windows kit-》Windbg
WinDbg 命令三部曲:(一)WinDbg 命令手冊(cè) - 匠心十年 - 博客園
https://www.cnblogs.com/gaochundong/p/windbg_cheat_sheet.html
OllyDbg的OllyDump插件,脫殼,可以轉(zhuǎn)儲(chǔ)當(dāng)前進(jìn)程分內(nèi)存,搜索加殼可執(zhí)行文件的OEP
OllyDbg的LoadDll.exe,調(diào)試DLL
如何在對(duì)API函數(shù)(如MessageBoxA)的調(diào)用上設(shè)置斷點(diǎn)?-這很簡(jiǎn)單。打開(kāi)命令行(Alt + F1)并鍵入“ BPX MessageBoxA”,或在Disassembler中搜索所有迭代模塊調(diào)用,單擊對(duì)MessageBoxA的任何調(diào)用,并在每次對(duì)該函數(shù)的調(diào)用上設(shè)置斷點(diǎn)。
BPX一般中斷在程序調(diào)用API的地址處。BP會(huì)中斷在API的寫(xiě)入地址處。二這有所不同,根據(jù)需要選擇。
IDR(交互式Delphi重構(gòu)器)
ImpRec
修復(fù)一個(gè)加殼的導(dǎo)入表
ProcDump
微軟提供的一個(gè)命令行實(shí)用程序,用來(lái)轉(zhuǎn)儲(chǔ)一個(gè)Windows進(jìn)程分內(nèi)容。優(yōu)點(diǎn)是在不停止進(jìn)程或調(diào)試進(jìn)程的情況下轉(zhuǎn)儲(chǔ)進(jìn)程中的內(nèi)存。
https://docs.microsoft.com/en-us/sysinternals/downloads/procdump
獲取system權(quán)限:PSTools
參考鏈接:https://www.jianshu.com/p/1e48b3a24e31
以管理員身份啟動(dòng)cmd,使用以下命令即可以System用戶(hù)啟動(dòng)任務(wù)管理器。
PsExec -i -s -d cmd
Autoruns for Windows - Windows Sysinternals 查看啟動(dòng)項(xiàng)
https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
API Monitor是一個(gè)免費(fèi)軟件,可以讓你監(jiān)視和控制應(yīng)用程序和服務(wù),查看API調(diào)用。
http://www.rohitab.com/apimonitor
Detours
Detours是微軟提供的一個(gè)開(kāi)發(fā)庫(kù),使用它可以簡(jiǎn)單、高效、穩(wěn)定(呵呵)地實(shí)現(xiàn)API HOOK的功能。
DetourAttach((void **)&OldMessageBoxW, NewMessageBoxW);//實(shí)現(xiàn)函數(shù)攔截
養(yǎng)成看github的issue的習(xí)慣
PVOID
https://blog.csdn.net/u012370255/article/details/28257043
PVOID等效于void * —無(wú)類(lèi)型指針
https://stackoverflow.com/questions/56305389/ms-detours-detourattach-fails
WINAPI
WINAPI 是這樣定義的
#define WINAPI __stdcall
__stdcall 是一種函數(shù)參數(shù)傳遞壓棧順序和堆棧平衡的約定
因?yàn)樵趙indows編程中默認(rèn)的參數(shù)傳遞都是__stdcall方式的
沒(méi)有什么問(wèn)題的。
LPSTR和LPWSTR是Win32和VC++所使用的一種字符串?dāng)?shù)據(jù)類(lèi)型。LPSTR被定義成是一個(gè)指向以NULL(‘\0’)結(jié)尾的32位ANSI字符數(shù)組指針,而LPWSTR是一個(gè)指向以NULL結(jié)尾的64位雙字節(jié)字符數(shù)組指針。
'L’代表Long,'P’代表Pointer(指針),'STR’表示String。
https://baike.baidu.com/item/LPSTR/9782867
spy++
visual stdio自帶
查看句柄
inspect.exe
Inspect.exe是一個(gè)基于Windows的工具,使您可以選擇任何UI元素并查看該元素的可訪問(wèn)性數(shù)據(jù)。
Windows軟件開(kāi)發(fā)工具包(SDK)已安裝Inspect。它位于SDK安裝路徑(Inspect.exe)的\ bin \ < 版本 > \ < platform >文件夾中。
https://docs.microsoft.com/en-us/windows/win32/winauto/inspect-objects
C:\Program Files (x86)\Windows Kits\10\bin\
LookHandles
操作Windows句柄
MFCSPY可以方便反編譯MFC程序,大概只支持到vc6.0,
其后續(xù)版本xspy,鏈接為https://github.com/lynnux/xspy/releases
不常用
VirusTotal
在線反病毒引擎
TCPView
TCPView將顯示系統(tǒng)上所有TCP和UDP端點(diǎn)的詳細(xì)列表
OSP Driver Loader
加載驅(qū)動(dòng)
DependencyWalker可以用來(lái)查看dll或exe依賴(lài)的dll文件。簡(jiǎn)稱(chēng)depends
官網(wǎng)http://www.dependencywalker.com/的是2006年的版本
在win10上可能不能正常運(yùn)行,在win7下可正常運(yùn)行
使用Dependency Walker對(duì)x86可執(zhí)行文件進(jìn)行性能分析在Windows 7 x64上掛起-代碼日志
https://stackoverflow.com/questions/8832936/profiling-x86-executable-with-dependency-walker-hangs-on-windows-7-x64/36049618#36049618
查看進(jìn)程依賴(lài)那個(gè)dll,linux使用ldd命令。
查看dll中有哪些導(dǎo)出函數(shù)windows使用dumpbin,linux使用objdump查看so中有哪些函數(shù)。
查看dll中符號(hào)的地址使用nm。
ApateDNS
顯示DNS請(qǐng)求,模擬DNS
https://www.fireeye.com/services/freeware.html
https://www.fireeye.com/services/freeware/apatedns-download-confirmation.html
Regshot
注冊(cè)表快照
regshot download | SourceForge.net
https://sourceforge.net/projects/regshot/
查詢(xún)DNS的網(wǎng)站:
DomainTools(http://whois.domaintools.com/ )–>whois歷史記錄的查詢(xún),能夠進(jìn)行反向IP查詢(xún),國(guó)內(nèi)不可訪問(wèn)
RobTex(http://www.robtex.com) 單個(gè)IP地址指向的多個(gè)域名信息
BFK DNS logger(http://www.bfk.de/bfk_dnslogger_en.html)DNS檢測(cè)信息
Sysinternals
https://docs.microsoft.com/en-us/sysinternals/
PE Explorer
Portmon
在win10上無(wú)法運(yùn)行。
Portmon是一個(gè)實(shí)用程序,用于監(jiān)視和顯示系統(tǒng)上的所有串行和并行端口活動(dòng)。
Windows的Portmon-Windows Sysinternals | 微軟文檔
https://docs.microsoft.com/en-us/sysinternals/downloads/portmon
RootkitRevealer-Windows Sysinternals | Windows Server 2003 微軟文檔
https://docs.microsoft.com/en-us/sysinternals/downloads/rootkit-revealer
2006年的程序,在win10上無(wú)法運(yùn)行。
由于永久rootkit通過(guò)更改API結(jié)果來(lái)工作,因此使用API的系統(tǒng)視圖與存儲(chǔ)中的實(shí)際視圖不同,因此RootkitRevealer會(huì)將最高級(jí)別的系統(tǒng)掃描結(jié)果與最低級(jí)別的系統(tǒng)掃描結(jié)果進(jìn)行比較。最高級(jí)別是Windows API,最低級(jí)別是文件系統(tǒng)卷或注冊(cè)表配置單元的原始內(nèi)容(配置單元文件是注冊(cè)表的磁盤(pán)存儲(chǔ)格式)。因此,RootkitRevealer會(huì)將Rootkit(無(wú)論是用戶(hù)模式還是內(nèi)核模式)操縱Windows API或本機(jī)API從目錄列表中刪除它們的存在,都將被視為Windows API返回的信息與所見(jiàn)信息之間的差異。在FAT或NTFS卷的文件系統(tǒng)結(jié)構(gòu)的原始掃描中。
PEID查殼,KANAL插件用來(lái)從PE文件中找出普遍使用的加密算法
ASPack 殼,可用AspackDie脫之
yoda’s Protector 脫殼機(jī):stanko_popov@abv.bg
UPX加殼與脫殼
PEBrowse Professional
查看PE文件
http://www.smidgeonsoft.prohosting.com/
總結(jié)
以上是生活随笔為你收集整理的windows下分析恶意代码工具列表的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 免费卡路里计算机,动者卡路里计算器
- 下一篇: java 构造函数的作用_Java中构造