安全应急响应工具年末大放送

为了帮助安全分析师更好的完成工作,小编整理了一些现在比较流行的安全应急响应工具和资源,从磁盘镜像创建工具、内存分析工具到内存镜像工具、沙盒/逆向工具等,相信总有一款适合你。

磁盘镜像创建工具

GetData Forensic Imager:GetData Forensic Imager是一款基于Windows的程序,能对常见的取证文件格式进行捕获,转换或验证取证镜像。

Guymager:Guymager是一款在Linux下进行捕获媒体取证镜像的免费软件。

AccessData FTK Imager:AccessData FTK Imager这款取证工具最主要的功能就是预览可恢复的磁盘数据,FTK Imager同时还能实时抓取内存及注册表,EFS文件检测。

内存分析工具

Volatility:高级内存取证框架。

Evolve:Volatility内存取证框架的Web接口。

WindowsSCOPE:另一款用来分析volatile内存取证和逆向工程的工具,通常被用来对恶意软件进行逆向分析,其提供了对Windows内核,驱动,DLLs,虚拟以及物理内存的分析。

Responder PRO:Responder PRO 物理内存和自动化恶意软件分析解决方案的行业标准。

KnTList:计算机内存分析工具。

Rekall:可从volatile内存(RAM)样本中提取信息的一款开源软件。

Memoryze:Mandiant公司的Memoryze是一款免费的内存取证软件,可帮助应急响应人员从实时内存中找到关键问题,Memoryze能捕获或者分析内存镜像。

Memoryze for Mac: Memoryze for Mac是Memoryze针对Mac电脑的版本,然而特性比较少。

内存镜像工具

OSForensics:OSForensics可在32bit及64bit系统下捕获实时内存,转储一个单独进程的内存空间或者物理内存。

Belkasoft Live RAM Capturer:一款轻量级能可靠提取计算机volatile内存全部内容的免费取证软件。

进程转储工具

PMDump:PMDump是一款命令行工具,在不结束程序运行的情况下转储一个进程的内存内容。

Microsoft User Mode Process Dumper:The User Mode Process Dumper (userdump)转储所有运行着的Win32进程的动态内存映像。

Timeline工具

Plaso:基于Python后端引擎的log2timeline工具。

Timesketch:用于协作取证的时间轴分析开源工具。

Highlighter:可从Fire/Mandiant找到的免费工具,为用户提供了3种分析查看方式。

工具包

X-Ways Forensics:X-Ways是一款针对Disk克隆和镜像的取证工具,也可用来查找被删除的文件及磁盘分析。

The Sleuth Kit & Autopsy:The Sleuth Kit是一款基于Unix和Windows的工具对计算机进行取证分析。其中包含了各种有助于数字取证的工具,这些工具有帮助分析磁盘镜像,对文件系统的深入分析等等。

Open Computer Forensics Architecture:Open Computer Forensics Architecture (OCFA)是另一个比较受关注的分布式开源计算机取证框架。该框架建立在Linux平台并且使用postgreSQL数据库存储数据。

Digital Forensics Framework:DFF是以专用API为基础的一个开源计算机取证平台。DFF提出了一个替代传统数字取证的解决方案,设计得更简洁,自动化。DFF接口引导用户通过一个主要的数字调查步骤,让用户选择专业模式或者非专业模式来快速进行数字调查以及执行事件响应。

Osquery:osquery是一个SQL驱动操作系统检测和分析工具。osquery支持像SQL语句一样查询系统的各项指标,可以用于OSX和Linux操作系统。它使得底层操作系统分析和监控性能更加直观。

MozDef:MozDef(The Mozilla Defense Platform)正在寻找自动处理安全事件处理程序,并实时调用事件处理程序。

GRR Rapid Response:GRR Rapid Response是一款专注于远程实时取证的事件响应框架,它由一个安装在目标系统上的Python代理(客户端)和一个可与Python代理连接的Python服务端组成。

MIG:Mozilla Investigator(MIG)是一款由Mozilla开发的分布式取证开源框架。MIG即使检测数千台服务器速度依旧很快,其只专注于在大量的系统中搜索正则表达式和字符串,非常高效。

Redline:通过内存或文件分析为用户提供主机调查功能发现恶意软件的迹象,以及威胁评估的概要文件。

事件管理

FIR:Fast Incident Response (FIR) 是一款以快速简单为设计思想的网络安全事件管理平台,允许简单快速创建,跟踪,报告网络安全事件,对于CSIRTs,CERTs和SOCs非常有帮助。

SCOT:Sandia Cyber Omni Tracker (SCOT)是一款专注于灵活性和易用性的时间响应手机和知识获取工具,其目标是在不加重用户负担的情况下提高事件响应过程价值。

RTIR:Request Tracker for Incident Response (RTIR)早前是一款针对计算机安全团队进行事件处理的开源系统。

Windows证据收集

FECT:Fast Evidence Collector Toolkit (FECT)是一款非常有亮点的收集可疑Windows计算机证据的事件响应工具包就算你不太懂技术你也能非常熟练的使用这款工具。

PSRecon:这个脚本程序仅通过一个本地的Windows工具,就可以收集当前状态下的电子证据和系统数据。这个脚本还包含账号锁定功能,这个功能可以在脚本对活动目录进行数据采集的时候,有效地阻止可疑主机对系统的访问。

DumpIt:DumpIt用于在Windows机器生成一个物理内存转储,可在x86 (32-bits)和x64 (64-bits)机器上工作。

AChoir:Achoir是一个用来简化Windows实时取证工具流程的框架/脚本工具。

RegRipper:Regripper是一款用Perl编写的开源工具,可从注册表提取/解析信息(keys, values, data)。

OSX证据收集

OSX Auditor:OSX Auditor是一款免费的Mac OS X计算机取证软件。

沙盒/逆向工具

Cuckoo:可配置性超高的开源沙盒工具。

Mastiff:MASTIFF是一款可从许多种文件格式中自动提取进程中的关键特征的静态分析框架。

Viper:Viper是一款基于python的二进制分析和管理框架,在Cuckoo和YARA中能很好的完成工作。

Virustotal:Virustotal是Google的子公司,免费的在线文件分析相信大家都在使用。

Malwr:Malwr是一个由Cuckoo沙盒打造的免费在线恶意软件分析服务和社区。

其他工具

Hindsight:Google Chrome/Chromium插件,用于互联网历史取证。

Kansa:Kansa是Powershell中事件响应框架模块。

Stalk:收集MySQL相关的取证数据。

Videos

Demisto IR video resources:事件响应和取证工具相关的视频资源。

The Future of Incident Response:Bruce Schneier在OWASP AppSecUSA 2015中提供的资料。

Books

The Practice of Network Security Monitoring: Understanding Incident Detection and Response - Richard Bejtlich所著。

(以上工具下载地址请点击阅读原文获取)

*原文:github,编译/FB小编鸢尾,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-11-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏吉浦迅科技

NVIDIA Jetson开发压箱底的秘密都在这里,很多人还不知道(一)

经常有人在群里问我各种“小”问题: Jetson TX2 显存是多大? Jetson TX2 开发板的尺寸是多大?给我个孔位图纸 Jetson TX2 支持最...

8038
来自专栏web前端教室

[前端常见病] 之 后端数据还没有,前端怎么进行?

标题所描述的情况,一般出现在后端进度滞后,前端又积累了一些工作量的情况下。在业务需求已经基本清晰的时候,前端的进度是很快的,UI设计出设计图,前端小兄弟切页面,...

23710
来自专栏Java3y

计算机网络【开山篇】

最近在看相关面经时,发现对于计算机网络的考察还是挺多的。于是就看回这些曾经做过的笔记复习了一下。

1651
来自专栏腾讯云技术沙龙

陈曦:性能与稳定并存 Elasticsearch调优实践

我今天分享的是Elassticsearch调优实践,首先自我介绍一下,我资历比较浅,我是腾讯TEG基础架构部后台开发工程师,虽然我不是项目经理,但是我们项目负责...

3213
来自专栏Java社区

十个Java实战开发中必备的小策略

为什么开发要用GIT呢?因为要给自己一颗后悔药吃。只要经常commit,文件就可以随时回退到某个时刻的内容,再也不担心别人改了自己的文件,自己误删了文件,特别是...

3257
来自专栏即时通讯技术

脑残式网络编程入门(六):什么是公网IP和内网IP?NAT转换又是什么鬼?

搞网络通信应用开发的程序员,可能会经常听到外网IP(即互联网IP地址)和内网IP(即局域网IP地址),但他们的区别是什么?又有什么关系呢?另外,内行都知道,提到...

3110
来自专栏程序员互动联盟

【专业技术】如何检测USB是否已经插入?

usb是我们现代生活中不可或缺的一个东西,大家平常只要使用电脑,肯定都接触过usb吧。本篇文章对于大部分同学来说并没有实际意义,主要面向想了解USB的一些同学,...

4215
来自专栏SDNLAB

【双语频道】6分钟了解ONOS

本视频来自ONOS首席架构师Thomas Vachuska的讲解,视频在短短6分钟左右的时间内深入浅出的对ONOS的架构进行了阐述和分析,并对其功能进行了演示...

3354
来自专栏进击的程序猿

The Clean Architecture in PHP 读书笔记(一)

框架是非常好的,可以帮助我们快速的开发,但是前期的学习成本往往很高,特别是如果想要深入理解框架,需要花费大量的经历。

1023
来自专栏菩提树下的杨过

“单播”、“组播”和“多播”

摘自"百度知道",我不知道! 当前的网络中有三种通讯模式:单播、广播、组播(多播),其中的组播出现时间最晚但同时具备单播和广播的优点,最具有发展前景。 一、单...

3845

扫码关注云+社区

领取腾讯云代金券