• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фазинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Статья Forensics & Hack & Malware Analysis & Reverse Engineering - Free Tools Windows

Sunnych

Mod. Forensics
Red Team
01.06.2018
122
440
#1
Так вышло что общение с WebWare Team меня с подвигло к написанию данной статьи.

Характер взлома с предыдущим сбором информации и компьютерно техническая экспертиза да и подготовка malware и её же reverse engineering часто используют одни и те же параметры изучения.

Они все получают выгоду от знания методов друг друга. Все зависит от того в каких целях применяются инструменты, а многие из них применимы в всех перечисленных мною направлениях, только на разных этапах работы.

Хочу напомнить о многими забытых инструментах Марка Руссиновича, не зря Microsoft их купила у него, сделала на некоторые gui и на сегодняшний день их Updated: July 5, 2018 и ой как чувствую не зря.

Начал я из далека но разрешите Вам представить
Для просмотра контента необходимо: Войти или зарегистрироваться
, а кому напомнить.

AccessChk - позволяет узнать, к каким типам пользователей и групп доступа относятся файлы, каталоги, ключи реестра и т. Д.
AccessEnum - полный просмотр настроек файловой системы и реестра.
AdExplorer - средство просмотра и редактор Active Directory.
AdInsight - инструмент мониторинга в режиме реального времени LDAP, используемый для устранения неполадок приложений Active Directory.
AdRestore - Возможность восстановления удаленных объектов Active Directory.
Autologon - легко настраивать механизм автолога.
Autoruns - отображает программы, которые настроены для запуска при запуске.
BgInfo - отображает соответствующую информацию о компьютере на рабочем столе, такую как имя компьютера, IP-адрес и т. Д.
CacheSet - апплет для управления рабочими параметрами системного кеша.
ClockRes - показывает разрешение системных часов.
Contig - дефрагментирует указанный файл или файлы.
Coreinfo - показывает сопоставление между логическими процессорами и физическим процессором.
Ctrl2Cap - драйвер устройства в режиме ядра, который фильтрует драйвер класса клавиатуры.
DebugView - контролирует вывод отладки в вашей локальной системе.
Desktops - позволяет организовать до четырех виртуальных рабочих столов.
Disk2vhd - создает виртуальные жесткие диски версий физических дисков.
DiskExt - возвращает информацию о том, на каких дисках находится раздел тома.
DiskMon - регистрирует и отображает всю активность на жестком диске.
DiskView - графическая карта вашего жесткого диска.
DiskUsage (DU) - сообщает об использовании дискового пространства для указанного каталога.
EFSDump - позволяет узнать, кто имеет доступ к зашифрованным файлам.
FindLinks - сообщает индекс файла и жесткие ссылки, которые существуют для указанного файла.
Handle - отображает информацию об открытых ручках для любого процесса.
Hex2dec - конвертирует шестнадцатеричный в десятичный и наоборот.
Junction - создает соединения (символические ссылки, объединяющие каталоги из нескольких локаций).
LDMDump - Давайте посмотрим, что именно хранится в копии диска.
ListDLLs - сообщает DLL, загруженные в процессы.
LiveKd - Позволяет запускать отладчики ядра Kd и Windbg.
LoadOrder - показывает порядок загрузки драйверов устройств.
LogonSessions - списки активных сеансов входа в систему.
MoveFile - сбрасывает содержимое ожидающего значения переименования / удаления.
NTFSInfo - показывает информацию о томах NTFS.
PageDefrag - показывает, что вы фрагментировали свои файлы подкачки и кусты реестра.
PendMoves - Сбрасывает содержимое ожидающего значения переименования/удаления.
PipeList - список pipes.
PortMon - Мониторинг и отображение всех операций последовательного и параллельного портов.
ProcDump - отслеживает всплески процессора.
Process Explorer - показывает информацию о том, какие дескрипторы и процессы DLL загружены.
Process Monitor - показывает файловую систему реального времени, реестр и процесс/поток.
PsExec - Позволяет выполнять процессы на удаленных системах.
PsGetSid - Позволяет переводить SID на их отображаемое имя и наоборот.
PsInfo - собирает ключевую информацию о локальной или удаленной системе, включая сборку ядра и объем памяти.
PsPing - реализует функциональность ping.
PsKill - может убивать процессы на локальных и удаленных системах.
PsList - отображает информацию о процессах, памяти и потоках.
PsLoggedOn - показывает, кто использует ресурсы на локальном или удаленном компьютере.
PsLogList - позволяет войти в систему на удаленных компьютерах в ситуациях, когда учетные данные безопасности не позволяют.
PsPasswd - позволяет вам изменять пароль учетной записи на локальных или удаленных системах.
PsService - средство просмотра и диспетчера служб для Windows.
PsShutdown - позволяет вывести пользователя консоли или заблокировать консоль между прочим.
PsSuspend - позволяет приостановить процессы в локальной или удаленной системе.
RAMMap - инструмент анализа использования физической памяти, чтобы увидеть, как Windows назначает физическую память.
RegDelNull - позволяет вам искать и удалять ключи реестра.
Registry Usage (RU) - Использование реестра (RU) - Сообщает об использовании пространства реестра.
RegJump - Открывает Regedit непосредственно к указанному пути к реестру.
RootkitRevealer - обнаружение руткитов.
SDelete - позволяет удалить один или несколько файлов / каталогов или очистить свободное место на диске.
ShareEnum - позволяет блокировать общие файлы.
ShellRunas - позволяет запускать программы под разными учетными записями.
SigCheck - показывает номер версии файла, метку времени и данные цифровой подписи.
Streams - позволяет видеть, какие файлы NTFS имеют альтернативные потоки, связанные с ними.
Strings - поиск файлов для указанной строки.
Sync - Позволяет вам очистить все данные файловой системы на диск.
TCPView - показывает подробные списки всех конечных точек TCP и UDP в вашей системе.
VMMap - инструмент анализа виртуальной и физической памяти процесса.
VolumeID - позволяет вам изменять идентификаторы дисков FAT и NTFS.
WhoIs - выполняет регистрационную запись для указанного имени домена или IP-адреса.
WinObj - отображает информацию о пространстве имен диспетчера объектов NT.
ZoomIt - инструмент масштабирования и аннотации экрана для технических презентаций.

Обратите внимание, они все бесплатны, портабельны с сертификатами Microsoft т.е назначение и применение их может быть очень разностороннее ;-), а что они могут, вот пример Process Monitor, Process Explorer и уж как использовать - искать малварь, проверять поведение бекдора и.т.п

статья6.jpg
Наверно это не совсем похоже на статью, это больше напоминание что многое уже придумано и валидно, нужно просто использовать.
 

Langolier

Grey Team
05.05.2018
205
247
#2


Мне кажется, что в "обязательный повседневный набор виндоузятника" , кроме упомянутых в статье утилит
  • Procmon64
  • procexp64
можно рекомендовать
  • autoruns
  • Tcpview
  • PortExpert
Последняя - не из набора Марка Риссиновича, но не менее незаменима ))
 
Последнее редактирование:

WebWare Team

Администратор
30.12.2015
2 090
2 760
#3
Неплохо бы ссылки на скачивание утилит добавить, как мне кажется. Думаю это многим сэкономит время на поиск.
 
Симпатии: Понравилось Sunnych

Sunnych

Mod. Forensics
Red Team
01.06.2018
122
440
#4
Неплохо бы ссылки на скачивание утилит добавить, как мне кажется. Думаю это многим сэкономит время на поиск.
В статье есть url на весь пак утилит, а Langolier только указал PortExpert которая есть у него, надеюсь на нее даст ссылку.
 

Langolier

Grey Team
05.05.2018
205
247
#6
В статье есть url на весь пак утилит, а Langolier только указал PortExpert которая есть у него, надеюсь на нее даст ссылку.
PortExpert - утилита для автоматического отслеживания приложений, подключенных к интернету, с отображением подробной информации о найденных процессах. Такой мониторинг позволяет быстрее выявить потенциальные угрозы и нежелательные элементы, которые могут влиять на Вашу систему.
Основные особенности программы программы:
  • Мониторинг приложений с помощью TCP/UDP
  • Простой и понятный интерфейс.
  • Определение удаленных серверов (WHOIS).
  • Позволяет открывать папку, в которой содержится приложение.
  • Поиск для получения дополнительной информации.
  • Автоматическая идентификация связанных сервисов: FTP, HTTP, HTTPS и др
  • Возможность отображать и скрывать системные процессы и др.

Скачать:
Для просмотра контента необходимо: Войти или зарегистрироваться
 
Вверх Снизу