windows工具

盡量從官網下載工具

工具

火絨劍

Resource Hacker
使用Resource Hacker來查看資源節
Windows?應用程序的免費資源編譯器和反編譯器
http://www.angusj.com/resourcehacker/

Process Monitor
Process Monitor是Windows的高級監視工具，可顯示實時文件系統，注冊表和進程/線程活動。微軟官方出品
進程監視器-Windows Sysinternals | 微軟文檔
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

Process Explorer v16.30
https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

Process Hacker
監視系統資源，調試軟件和檢測惡意軟件。
和ProcessExplorer有點像。
官網：Overview - Process Hacker
https://processhacker.sourceforge.io/

CFF
查看PE文件
下載– NTCore
https://ntcore.com/?page_id=345

exeinfope
查殼

調試器
IDA
IDAPython腳本
IDA插件：FindCrypt2查找加密算法的常量
IDA的熵指插件：ida-ent.plw

Windbg
https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/debugger-download-tools
開始菜單-》windows kit-》Windbg
WinDbg 命令三部曲：（一）WinDbg 命令手冊 - 匠心十年 - 博客園
https://www.cnblogs.com/gaochundong/p/windbg_cheat_sheet.html

OllyDbg的OllyDump插件，脫殼，可以轉儲當前進程分內存，搜索加殼可執行文件的OEP
OllyDbg的LoadDll.exe，調試DLL
如何在對API函數（如MessageBoxA）的調用上設置斷點？-這很簡單。打開命令行（Alt + F1）并鍵入“ BPX MessageBoxA”，或在Disassembler中搜索所有迭代模塊調用，單擊對MessageBoxA的任何調用，并在每次對該函數的調用上設置斷點。
BPX一般中斷在程序調用API的地址處。BP會中斷在API的寫入地址處。二這有所不同，根據需要選擇。

IDR（交互式Delphi重構器）

ImpRec
修復一個加殼的導入表

ProcDump
微軟提供的一個命令行實用程序，用來轉儲一個Windows進程分內容。優點是在不停止進程或調試進程的情況下轉儲進程中的內存。
https://docs.microsoft.com/en-us/sysinternals/downloads/procdump

獲取system權限:PSTools
參考鏈接：https://www.jianshu.com/p/1e48b3a24e31
以管理員身份啟動cmd，使用以下命令即可以System用戶啟動任務管理器。
PsExec -i -s -d cmd

Autoruns for Windows - Windows Sysinternals 查看啟動項
https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

API Monitor是一個免費軟件，可以讓你監視和控制應用程序和服務，查看API調用。
http://www.rohitab.com/apimonitor

Detours

Detours是微軟提供的一個開發庫，使用它可以簡單、高效、穩定（呵呵）地實現API HOOK的功能。
DetourAttach((void **)&OldMessageBoxW, NewMessageBoxW);//實現函數攔截
養成看github的issue的習慣

PVOID

https://blog.csdn.net/u012370255/article/details/28257043
PVOID等效于void * —無類型指針
https://stackoverflow.com/questions/56305389/ms-detours-detourattach-fails

WINAPI

WINAPI 是這樣定義的
#define WINAPI __stdcall
__stdcall 是一種函數參數傳遞壓棧順序和堆棧平衡的約定
因為在windows編程中默認的參數傳遞都是__stdcall方式的
沒有什么問題的。

void* (void * BindKeyT)(const char* key) = actual_BindKeyT;// actual_BindKeyT is a pointer to a function that will be defined elsewhere, // and whose declaration you will include in your project through a header file // or a dll importvoid * BindKeyD(const char* key) {// Code for your hook function }DetourAttach(&(PVOID&)BindKeyT, BindKeyD);

LPSTR和LPWSTR是Win32和VC++所使用的一種字符串數據類型。LPSTR被定義成是一個指向以NULL(‘\0’)結尾的32位ANSI字符數組指針，而LPWSTR是一個指向以NULL結尾的64位雙字節字符數組指針。
'L’代表Long，'P’代表Pointer(指針)，'STR’表示String。
https://baike.baidu.com/item/LPSTR/9782867

LONG WINAPI DetourAttach(_Inout_ PVOID *ppPointer,_In_ PVOID pDetour) {return DetourAttachEx(ppPointer, pDetour, NULL, NULL, NULL); }

spy++
visual stdio自帶
查看句柄

inspect.exe
Inspect.exe是一個基于Windows的工具，使您可以選擇任何UI元素并查看該元素的可訪問性數據。
Windows軟件開發工具包（SDK）已安裝Inspect。它位于SDK安裝路徑（Inspect.exe）的\ bin \ < 版本 > \ < platform >文件夾中。
https://docs.microsoft.com/en-us/windows/win32/winauto/inspect-objects
C:\Program Files (x86)\Windows Kits\10\bin\

LookHandles
操作Windows句柄

MFCSPY可以方便反編譯MFC程序，大概只支持到vc6.0，
其后續版本xspy，鏈接為https://github.com/lynnux/xspy/releases

不常用

VirusTotal
在線反病毒引擎

TCPView
TCPView將顯示系統上所有TCP和UDP端點的詳細列表

OSP Driver Loader
加載驅動

DependencyWalker可以用來查看dll或exe依賴的dll文件。簡稱depends
官網http://www.dependencywalker.com/的是2006年的版本
在win10上可能不能正常運行，在win7下可正常運行
使用Dependency Walker對x86可執行文件進行性能分析在Windows 7 x64上掛起-代碼日志
https://stackoverflow.com/questions/8832936/profiling-x86-executable-with-dependency-walker-hangs-on-windows-7-x64/36049618#36049618

查看進程依賴那個dll，linux使用ldd命令。
查看dll中有哪些導出函數windows使用dumpbin，linux使用objdump查看so中有哪些函數。
查看dll中符號的地址使用nm。

ApateDNS
顯示DNS請求，模擬DNS
https://www.fireeye.com/services/freeware.html
https://www.fireeye.com/services/freeware/apatedns-download-confirmation.html

Regshot
注冊表快照
regshot download | SourceForge.net
https://sourceforge.net/projects/regshot/

查詢DNS的網站：
DomainTools（http://whois.domaintools.com/ ）–>whois歷史記錄的查詢，能夠進行反向IP查詢，國內不可訪問
RobTex（http://www.robtex.com） 單個IP地址指向的多個域名信息
BFK DNS logger（http://www.bfk.de/bfk_dnslogger_en.html）DNS檢測信息

Sysinternals
https://docs.microsoft.com/en-us/sysinternals/

PE Explorer

Portmon
在win10上無法運行。
Portmon是一個實用程序，用于監視和顯示系統上的所有串行和并行端口活動。
Windows的Portmon-Windows Sysinternals | 微軟文檔
https://docs.microsoft.com/en-us/sysinternals/downloads/portmon

RootkitRevealer-Windows Sysinternals | Windows Server 2003 微軟文檔
https://docs.microsoft.com/en-us/sysinternals/downloads/rootkit-revealer
2006年的程序，在win10上無法運行。
由于永久rootkit通過更改API結果來工作，因此使用API的系統視圖與存儲中的實際視圖不同，因此RootkitRevealer會將最高級別的系統掃描結果與最低級別的系統掃描結果進行比較。最高級別是Windows API，最低級別是文件系統卷或注冊表配置單元的原始內容（配置單元文件是注冊表的磁盤存儲格式）。因此，RootkitRevealer會將Rootkit（無論是用戶模式還是內核模式）操縱Windows API或本機API從目錄列表中刪除它們的存在，都將被視為Windows API返回的信息與所見信息之間的差異。在FAT或NTFS卷的文件系統結構的原始掃描中。

PEID查殼，KANAL插件用來從PE文件中找出普遍使用的加密算法
ASPack 殼，可用AspackDie脫之
yoda’s Protector 脫殼機：stanko_popov@abv.bg
UPX加殼與脫殼

PEBrowse Professional
查看PE文件
http://www.smidgeonsoft.prohosting.com/

總結

以上是生活随笔為你收集整理的windows下分析恶意代码工具列表的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。