Бесплатные утилиты Windows для расследования взломов, анализа малвари и реверс инжиниринга

Характер взлома с предыдущим сбором информации и компьютерно техническая экспертиза да и подготовка malware и её же reverse engineering часто используют одни и те же параметры изучения.

Они все получают выгоду от знания методов друг друга. Все зависит от того в каких целях применяются инструменты, а многие из них применимы в всех перечисленных мною направлениях, только на разных этапах работы.

Хочу напомнить о многими забытых инструментах Марка Руссиновича, не зря Microsoft их купила у него, сделала на некоторые gui и на сегодняшний день их Updated: July 5, 2018 и ой как чувствую не зря.

Начал я из далека но разрешите Вам представить Sysinternals Suite, а кому напомнить.

AccessChk - позволяет узнать, к каким типам пользователей и групп доступа относятся файлы, каталоги, ключи реестра и т. Д.

AccessEnum - полный просмотр настроек файловой системы и реестра.

AdExplorer - средство просмотра и редактор Active Directory.

AdInsight - инструмент мониторинга в режиме реального времени LDAP, пользуемый для устранения неполадок приложений Active Directory.

AdRestore - Возможность восстановления удаленных объектов Active Directory.

Autologon - легко настраивать механизм автолога.

Autoruns - отображает программы, которые настроены для запуска при запуске.

BgInfo - отображает соответствующую информацию о компьютере на рабочем столе, такую как имя компьютера, IP-адрес и т. Д.

CacheSet - апплет для управления рабочими параметрами системного кеша.

ClockRes - показывает разрешение системных часов.

Contig - дефрагментирует указанный файл или файлы.

Coreinfo - показывает сопоставление между логическими процессорами и физическим процессором.

Ctrl2Cap - драйвер устройства в режиме ядра, который фильтрует драйвер класса клавиатуры.

DebugView - контролирует вывод отладки в вашей локальной системе.

Desktops - позволяет организовать до четырех виртуальных рабочих столов.

Disk2vhd - создает виртуальные жесткие диски версий физических дисков.

DiskExt - возвращает информацию о том, на каких дисках находится раздел тома.

DiskMon - регистрирует и отображает всю активность на жестком диске.

DiskView - графическая карта вашего жесткого диска.

DiskUsage (DU) - сообщает об использовании дискового пространства для указанного каталога.

EFSDump - позволяет узнать, кто имеет доступ к зашифрованным файлам.

FindLinks - сообщает индекс файла и жесткие ссылки, которые существуют для указанного файла.

Handle - отображает информацию об открытых ручках для любого процесса.

Hex2dec - конвертирует шестнадцатеричный в десятичный и наоборот.

Junction - создает соединения (символические ссылки, объединяющие каталоги из нескольких локаций).

LDMDump - Давайте посмотрим, что именно хранится в копии диска.

ListDLLs - сообщает DLL, загруженные в процессы.

LiveKd - Позволяет запускать отладчики ядра Kd и Windbg.

LoadOrder - показывает порядок загрузки драйверов устройств.

LogonSessions - списки активных сеансов входа в систему.

MoveFile - сбрасывает содержимое ожидающего значения переименования / удаления.

NTFSInfo - показывает информацию о томах NTFS.

PageDefrag - показывает, что вы фрагментировали свои файлы подкачки и кусты реестра.

PendMoves - Сбрасывает содержимое ожидающего значения переименования/удаления.

PipeList - список pipes.

PortMon - Мониторинг и отображение всех операций последовательного и параллельного портов.

ProcDump - отслеживает всплески процессора.

Process Explorer - показывает информацию о том, какие дескрипторы и процессы DLL загружены.

Process Monitor - показывает файловую систему реального времени, реестр и процесс/поток.

PsExec - Позволяет выполнять процессы на удаленных системах.

PsGetSid - Позволяет переводить SID на их отображаемое имя и наоборот.

PsInfo - собирает ключевую информацию о локальной или удаленной системе, включая сборку ядра и объем памяти.

PsPing - реализует функциональность ping.

PsKill - может убивать процессы на локальных и удаленных системах.

PsList - отображает информацию о процессах, памяти и потоках.

PsLoggedOn - показывает, кто использует ресурсы на локальном или удаленном компьютере.

PsLogList - позволяет войти в систему на удаленных компьютерах в ситуациях, когда учетные данные безопасности не позволяют.

PsPasswd - позволяет вам изменять пароль учетной записи на локальных или удаленных системах.

PsService - средство просмотра и диспетчера служб для Windows.

PsShutdown - позволяет вывести пользователя консоли или заблокировать консоль между прочим.

PsSuspend - позволяет приостановить процессы в локальной или удаленной системе.

RAMMap - инструмент анализа использования физической памяти, чтобы увидеть, как Windows назначает физическую память.

RegDelNull - позволяет вам искать и удалять ключи реестра.

Registry Usage (RU) - Использование реестра (RU) - Сообщает об использовании пространства реестра.

RegJump - Открывает Regedit непосредственно к указанному пути к реестру.

RootkitRevealer - обнаружение руткитов.

SDelete - позволяет удалить один или несколько файлов / каталогов или очистить свободное место на диске.

ShareEnum - позволяет блокировать общие файлы.

ShellRunas - позволяет запускать программы под разными учетными записями.

SigCheck - показывает номер версии файла, метку времени и данные цифровой подписи.

Streams - позволяет видеть, какие файлы NTFS имеют альтернативные потоки, связанные с ними.

Strings - поиск файлов для указанной строки.

Sync - Позволяет вам очистить все данные файловой системы на диск.

TCPView - показывает подробные списки всех конечных точек TCP и UDP в вашей системе.

VMMap - инструмент анализа виртуальной и физической памяти процесса.

VolumeID - позволяет вам изменять идентификаторы дисков FAT и NTFS.

WhoIs - выполняет регистрационную запись для указанного имени домена или IP-адреса.

WinObj - отображает информацию о пространстве имен диспетчера объектов NT.

ZoomIt - инструмент масштабирования и аннотации экрана для технических презентаций.

Обратите внимание, они все бесплатны, портабельны с сертификатами Microsoft т.е назначение и применение их может быть очень разностороннее ;-), а что они могут, вот пример Process Monitor, Process Explorer и уж как использовать - искать малварь, проверять поведение бекдора и.т.п