注意,本文档同步蓝队工具箱进行使用
本网站所发布的文章及工具代码等仅限交流学习,本网站不承担任何责任!如有侵权,请告知我们立即删除。
现在地址:https://www.123pan.com/s/qDVvjv-X3Eod.html
Github地址:
https://github.com/ChinaRan0/BlueTeamTools
蓝队应急响应工具箱-v8-新春贺岁版,
工具使用
everything
everthing软件-是一个强大的文件搜索工具,它体积小巧,界面简洁易用,快速建立索引,能够以极快的速度帮助用户找到
计算机上的文件和文件夹,无限提升效率
使用方法:
直接打开即可
Process Hacker:一款用于调试和排除软件故障的强大工具
Process Hacker是一款针对用户的安全分析工具,它可以帮助研究人员检测和解决软件或进程在特定操作系统环境
下遇到的问题。除此之外,它还可以检测恶意进程,并告知我们这些恶意进程想要实现的功能。当你运行Process Hacker
之后,你将会看到如下图所示的主界面:
工具主界面
默认配置下,它会在Processes标签页中以树形图的形式显示所有当前正在运行的
进程列表:
-进程标识符(PID)
-CPU使用占比(CPU)
-I/O总速率
-私有字节
-运行进程的用户名
-进程简单描述
点击特定的进程名之后,你可以查看到更多详细的信息:
查看到更多详细的信息
Services标签页主要显示当前巴音郭楞服务和驱动的详细列表,Network标签页和Disk标签页分别显示的是各个进程
对应的网络使用情况和磁盘使用情况。
网络使用情况和磁盘使用情况大家可以在Hacker>Options设置中的Highlighting标签下修改标记颜色:
修改标记颜色
释放控制Process Hacker给你提供的每一个选项都可以帮助你删掉那些原本删不掉的文件,之所以删不掉
,是因为有其他的进程在使用它们…
Process Hacker可以帮助我们识别目标进程,并切断进程跟文件之间的关联,整个处理过程如下:
1、 在主菜单中点击“Find handles orDLLs”;
2、 在Filter栏中输入完整或部分文件名,然后点击“Find”;
3、 在结果中找到正确的文件名,然后点击那一行;
4、 点击鼠标右键,从菜单栏中选择“Go toowning process”;
5、 Processes窗口中会高亮标记这个进程;
6、 右键点击高亮进程,选择“Terminate”;
7、 终止进程之后,你就可以尝试删除之前被锁定的文件了;
浏览网络信息在Process Hacker的帮助下,大家还可以浏览特定进程的网络通信情况,即使你关闭了某些进程,
你还可以启用“Restore previous session”功能来查看所有的进程通信数据:
查看所有的进程通信数据
从内存中导出字符串信息你可以使用Process Hacker来导出内存中的进程数据,分析人员可以使用这些导
出数据来搜索内存中的字符串信息,然后使用脚本或Yara规则来对目标进程进行初始分类。如果目标应用
是恶意软件,那我们很快就会发现它们。
右键点击正在运行的目标进程,选择“Create dump file…”,选择导出数据的保存路径。ProcessHacker从
内存中导出的数据文件带有.dmp后缀,大家可以使用十六进制编辑器或文本编辑器(或mimikatz)来浏览这些文件。
请立即点击咨询我们或拨打咨询热线: 15752276739,我们会详细为你一一解答你心中的疑难。项目经理在线
客服1 
客服2 