Windows安全管理工具总结

简单整理Windows安全课堂上讲解和提及的各种安全工具。

CMD 命令

• ver：查看内核版本。

• systeminfo：查看系统信息，包括版本，补丁等大量信息。

• set：查看所有的环境变量。

• sc：查询服务信息。

  • sc query [service name] 查询状态
  • sc qc [service name] 查询配置
  • sc start [service name] 启动需要手动启动的服务/驱动
  • sc stop [service name] 停止服务
  • sc showsid [service name] 查看服务的SID

• attrib：修改文件属性

  • 例如隐藏文件：添加hidden和system属性

    > attrib +h +s file-name
    

• whoami：显示域名和用户名（没有加入域时，显示主机名）。

  • whoami /user显示用户名和SID
  • whoami /all显示详细信息（特权、权限、所属组等）
  • whoami /all 显示详细的用户访问控制令牌信息

• hostname：查看主机名称

• net：用户和用户组操作

  • net user [username] 查看用户信息
  • net user [username] /add 添加新的用户
  • net user [username] [password] /add添加用户
  • net user [username] /del
  • net localgroup [groupname] [username] /add 用户加入本地组

• makecab：压缩工具

• wusa：补丁安装命令

• netstat：查看网络连接信息，各种参数参见help信息

• reg：注册表管理工具

  • reg save [hkey] [filename] 将注册表导出到文件中

• cacls：查看客体的安全访问控制项ACE

系统工具（cmd+R）

• regedit：（Registry Editer）注册表查看和编辑。
• services.msc：服务控制面板（位于控制面板-系统和安全-管理工具-服务），查看和管理系统服务（只能看到用户态服务）。
• secpol.msc：（Security Policy）本地安全策略配置。
• syskey：SAM锁定工具，可以将密码存入本地或软盘。
• msinfo32.exe：查看所有加载的驱动程序。
• control：控制面板
• eventvwr：（Event Viewer）审计日志查看器
• certmgr.msc：（Certificate Manager）证书管理工具

其他工具

• PE文件查看器：

  • PE Explorer。
  • Stud_PE。
  • PEiD：可以看到加壳工具和编译工具。

• DarkRemoteRAT：一个木马软件

• Agony：一个RootKit代码演示工具

  • agony -p [进程名] 隐藏进程
  • agony -f [文件名] 隐藏文件/文件夹

• SystInternalsSuite工具集：

  • autoruns：查看自启动项（注册表，自启动目录，服务，计划程序等）
  • procexp（process explorer）：查看进程信息（父子进程关系，进程加载的DLL和句柄列表，访问控制令牌，DEP，ASLR，完整性级别，虚拟化等，包括svchost内部的具体服务，进程的网络连接信息）
  • tcpview：查看网络连接、端口、数据等
  • procmon（process monitor）：检查和记录进程的各种操作
  • PsGetSid：查看用户的SID（默认显示主机SID）
  • psexec：运行程序
    • 使用-s参数可以使用SYSTEM权限运行程序
    • 使用-l参数可以使用Low完整性级别运行程序
  • procdump：进程内存导出工具
  • AccessChk：查看主客体对象的完整性级别
  • Strings：二进制代码的明文字符串查找

• RootKit/BootKit检测工具

  • XueTr（XT）：一个RootKit检测查看工具
  • PowerTool（PT）：可以检测到Bootkit和Rootkit
  • IceSword：不再更新，经典
  • RootkitUnhooker（RKU）
  • Kaspersky TDSSKiller：可以检测到Bootkit和Rootkit

• OSR Driver Loader：一个向系统加载驱动的工具。

• nc：一个常见的网络监控和通信工具。“网络的瑞士军刀”

• wireshark：一个开源的网络数据包分析软件。

• 沙箱工具（用于动态分析）：

  • SSM沙箱：System Safety Monitor，给系统函数加hook
  • Cuckoo：开源的沙箱，使用最多
  • Anubis沙箱
  • Norman沙箱
  • GFI沙箱

• OllyDbg：一个常见的动态分析调试工具。

• 静态分析工具：

  • IDA Pro：高级分析工具
  • Depends：查看链接库，导入导出表
  • Dependancy Walker

• 明文字符串查找：

  • BinText：查看明文字符串，包括函数名等
  • Strings

• 加壳识别和脱壳：

  • VMUnpacker
  • UPX：可以加壳和脱壳
  • UnPEPack
  • ASPack unpacker

• 文件格式识别：

  • PEid：检查是否加壳，检测编译工具
  • FileAnalyzer

• 反病毒引擎扫描：

  • VirusScan
  • VirusTool

• mimikatz：一个获得登陆用户明文密码的工具

• winhex：二进制读写工具，直接操纵硬盘而不是使用WinAPI

• SAMINside：SAM文件解析和读取工具

• 本地密码破解工具：

  • L0phtCrack
  • SAMInside
  • Ophcrack

• Windows本地密码散列导出工具：

  • Pwdump
  • wce：Windows密码凭证编辑器
  • gsecdump
  • copypwd
  • QuarksPwDump

• 提取登录用户明文密码：

  • wce：Windows密码凭证编辑器
  • mimikatz

• 数据恢复工具：

  • EasyRecovery
  • FinalData

参考Github项目

• UACME
• LOLBAS
• BypassAntiVirus