Windows安全管理工具总结

Jun 25, 2020· · 1 min read

简单整理Windows安全课堂上讲解和提及的各种安全工具。

CMD 命令

  • ver:查看内核版本。

  • systeminfo:查看系统信息,包括版本,补丁等大量信息。

  • set:查看所有的环境变量。

  • sc:查询服务信息。

    • sc query [service name] 查询状态
    • sc qc [service name] 查询配置
    • sc start [service name] 启动需要手动启动的服务/驱动
    • sc stop [service name] 停止服务
    • sc showsid [service name] 查看服务的SID

  • attrib:修改文件属性

    • 例如隐藏文件:添加hidden和system属性

      > attrib +h +s file-name

  • whoami:显示域名和用户名(没有加入域时,显示主机名)。

    • whoami /user显示用户名和SID
    • whoami /all显示详细信息(特权、权限、所属组等)
    • whoami /all 显示详细的用户访问控制令牌信息

  • hostname:查看主机名称

  • net:用户和用户组操作

    • net user [username] 查看用户信息
    • net user [username] /add 添加新的用户
    • net user [username] [password] /add添加用户
    • net user [username] /del
    • net localgroup [groupname] [username] /add 用户加入本地组

  • makecab:压缩工具

  • wusa:补丁安装命令

  • netstat:查看网络连接信息,各种参数参见help信息

  • reg:注册表管理工具

    • reg save [hkey] [filename] 将注册表导出到文件中

  • cacls:查看客体的安全访问控制项ACE

系统工具(cmd+R)

  • regedit:(Registry Editer)注册表查看和编辑。
  • services.msc:服务控制面板(位于控制面板-系统和安全-管理工具-服务),查看和管理系统服务(只能看到用户态服务)。
  • secpol.msc:(Security Policy)本地安全策略配置。
  • syskey:SAM锁定工具,可以将密码存入本地或软盘。
  • msinfo32.exe:查看所有加载的驱动程序。
  • control:控制面板
  • eventvwr:(Event Viewer)审计日志查看器
  • certmgr.msc:(Certificate Manager)证书管理工具

其他工具

  • PE文件查看器:

    • PE Explorer。
    • Stud_PE。
    • PEiD:可以看到加壳工具和编译工具。

  • DarkRemoteRAT:一个木马软件

  • Agony:一个RootKit代码演示工具

    • agony -p [进程名] 隐藏进程
    • agony -f [文件名] 隐藏文件/文件夹

  • SystInternalsSuite工具集:

    • autoruns:查看自启动项(注册表,自启动目录,服务,计划程序等)
    • procexp(process explorer):查看进程信息(父子进程关系,进程加载的DLL和句柄列表,访问控制令牌,DEP,ASLR,完整性级别,虚拟化等,包括svchost内部的具体服务,进程的网络连接信息)
    • tcpview:查看网络连接、端口、数据等
    • procmon(process monitor):检查和记录进程的各种操作
    • PsGetSid:查看用户的SID(默认显示主机SID)
    • psexec:运行程序
      • 使用-s参数可以使用SYSTEM权限运行程序
      • 使用-l参数可以使用Low完整性级别运行程序
    • procdump:进程内存导出工具
    • AccessChk:查看主客体对象的完整性级别
    • Strings:二进制代码的明文字符串查找

  • RootKit/BootKit检测工具

    • XueTr(XT):一个RootKit检测查看工具
    • PowerTool(PT):可以检测到Bootkit和Rootkit
    • IceSword:不再更新,经典
    • RootkitUnhooker(RKU)
    • Kaspersky TDSSKiller:可以检测到Bootkit和Rootkit

  • OSR Driver Loader:一个向系统加载驱动的工具。

  • nc:一个常见的网络监控和通信工具。“网络的瑞士军刀”

  • wireshark:一个开源的网络数据包分析软件。

  • 沙箱工具(用于动态分析):

    • SSM沙箱:System Safety Monitor,给系统函数加hook
    • Cuckoo:开源的沙箱,使用最多
    • Anubis沙箱
    • Norman沙箱
    • GFI沙箱

  • OllyDbg:一个常见的动态分析调试工具。

  • 静态分析工具:

    • IDA Pro:高级分析工具
    • Depends:查看链接库,导入导出表
    • Dependancy Walker

  • 明文字符串查找:

    • BinText:查看明文字符串,包括函数名等
    • Strings

  • 加壳识别和脱壳:

    • VMUnpacker
    • UPX:可以加壳和脱壳
    • UnPEPack
    • ASPack unpacker

  • 文件格式识别:

    • PEid:检查是否加壳,检测编译工具
    • FileAnalyzer

  • 反病毒引擎扫描:

    • VirusScan
    • VirusTool

  • mimikatz:一个获得登陆用户明文密码的工具

  • winhex:二进制读写工具,直接操纵硬盘而不是使用WinAPI

  • SAMINside:SAM文件解析和读取工具

  • 本地密码破解工具:

    • L0phtCrack
    • SAMInside
    • Ophcrack

  • Windows本地密码散列导出工具:

    • Pwdump
    • wce:Windows密码凭证编辑器
    • gsecdump
    • copypwd
    • QuarksPwDump

  • 提取登录用户明文密码:

    • wce:Windows密码凭证编辑器
    • mimikatz

  • 数据恢复工具:

    • EasyRecovery
    • FinalData

参考Github项目

  • UACME
  • LOLBAS
  • BypassAntiVirus