本质上来说,工具软件是无害的,取决于人如何使用,就像一把菜刀,可以用来切菜,也可以用来砍人,不过话又说回来,在特定场景和环境,我们又不得不对这些工具进行限制。同样以菜刀为例,菜刀在国内密集人流环境下,多数情况下是不允许被携带的。
其实,对网络安全、攻防对抗来讲,工具也是承担类似的角色,黑产团队可以用这些工具攻击,安全团队也可以用这些工具防守,至于利弊来讲,是取决于使用者的最终目的的。以开源工具Process Hacker为例,安全团队可以用这个工具进行应急响应、恶意进程分析、病毒查杀;而黑产团队可以用这个工具对安全软件进行卸载,对系统或应用级保护机制进行破坏。
pchunter
PCHunter是一款功能强大的windows系统信息查看软件,同时也是一款强大的手工杀毒软件。用它不但可以查看各类系统信息,也可以揪出电脑中的潜伏的病毒木马。PCHunter是一款驱动级高权限工具软件,可以对进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能,正因如此,黑客也有可能使用这个工具,先把本地保护机制破坏掉,然后就可以肆无忌惮的对计算机进行各种操作。
Process Explorer
Process Explorer 是一款由 Sysinternals 公司开发的一款系统软件,可以列出了PC上每个正在运行的应用程序,以及有关正在运行的进程和打开的文件的信息。在Process Explorer中,列表以树形结构显示,所有内容均显示在两个面板的窗口中。上面的面板列出了当前的应用程序,而下面的面板使您可以访问有关所选过程的详细信息。您可以选择停止单个应用程序,更改当前正在运行的进程的优先级以及查看每个进程的属性。这些属性显示每个进程占用了多少内存和空间。您还可以使用Process Explorer查找有关系统的特定信息。其中包括系统当前运行状况的摘要,以及CPU,内存,输入和输出的统计信息和图表。
Process Monitor
Process Monitor 也是一款由 Sysinternals 公司开发的包含强大的监视和过滤功能的高级 Windows 监视工具,可实时显示文件系统、注册表、进程/线程的活动。可以捕获进程的详细信息,包括映像路径、命令行、用户和会话 ID等功能非常强大。它结合了两个 Sysinternals 的旧版工具 Filemon 和 Regmon 的功能,并添加了一个包含丰富的和非破坏性的广泛增强过滤功能列表,全面的事件属性(例如会话 ID 和用户名称),可靠的进程信息,每个操作的完整线程、堆栈与集成符号支持,同时记录到一个文件中,以及更多。其独一无二的强大功能将使 Process Monitor 在您的系统故障排除和恶意软件检测中发挥重要的作用。Process Monitor 可以说是安全人员必备工具之一,在对恶意软件分析中担任着很重要的角色。
ProcessHacker
Process Hacker 功能和PCHunter 类似,是一款针对高级用户的安全分析工具,它可以帮助研究人员检测和解决软件或进程在特定操作系统环境下遇到的问题。除此之外,它还可以检测恶意进程,并告知我们这些恶意进程想要实现的功能。Process Hacker是一个开源项目,Process Hacker跟ProcessExplorer十分相似,但是Process Hacker提供了更多的功能以及选项。而且由于它是完全开源的,所以我们还可以根据自己的需要来自定义其他功能。就是这样一款工具,安全人员和黑客,均可以拿来使用,至于是用来应急响应和查杀病毒,还是用来破坏系统或应用,就取决于使用者。
Mimikatz
windows密码抓取神器Mimikatz是法国人Genti Kiwi编写的一款windows平台下的工具,它开发了很多功能,最令人熟知的功能是直接从lsass.exe进程里获取Windows处于激活状态账号的明文密码。也正是因为此功能,常常被黑客所使用,用于提取被入侵主机更多的账号密码。
PsExec
PsExec 是一个轻型的 telnet 替代工具,它使你无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。这是一款微软官方网站可以下载的工具,有数字签名,属于“根正苗红”类型的,很少有杀毒软件会将这个软件当作病毒的,因为本身它也有正常的用途的。不过,或许正是因为此(杀软不敢“动它”),黑客在攻击中,也时常会使用这个工具,进行远程病毒执行和内网扩散。
DUBrute是一款强大的远程桌面(3389)密码破解软件,你可以用本附件的扫描功能来自动扫描活跃IP地址,扫描完成后设置好用户名与需要猜解的密码就可以开始全自动工作了。
一款爆破工具,跟DUBrute比较类似,不同黑产团队可能使用不同的爆破工具,或者基于某种考虑,会轮换使用相同类型的不同工具。
WebBrowserPassView
WebBrowserPassView是一款功能强大的网页密码查看工具。该款工具会自动找出你在浏览器里面保存过的的帐号和对应的密码并显示出来,只要启动它,经过几秒钟之后,就会看到画面上出现你的浏览器所记忆的网址、帐号及密码了!目前一共支持了IE1~IE9、Firefox、Chrome及Opera等四种主流浏览器。
PortScan & Stuff
PortScan & Stuff 是一款端口扫描工具,可以快速检查IP范围并返回有关运行中的计算机的信息。如果您希望检查网络计算机的详细信息,它特别有用,PortScan并不是一个很复杂的程序,尽管它或多或少显然没有针对初学者。其简洁的界面依赖于选项卡式布局,因此您只需单击即可轻松访问所需的功能。它扫描所有可用的端口,并显示每台连接的计算机的详细信息,例如mac地址,主机名,打开的端口和HTTP服务器。
此外,您还可以启动ping会话并ping IP地址或主机名,并可以使用以下三种模式:3个短ping,大ping套件和连续清管。该应用程序结合了具有基本选项的速度测试工具,从而帮助您确定网络连接的下载和上传速度。您不需要Windows 7计算机上的管理员特权,但是必须在防火墙中授予对网络的访问权限。
Mimikatz作为一款神器,已广为人知,杀毒软件已将此软件视为“病毒”和“黑客工具”。为了逃避检测和加强绕过,Lazykatz是Mimikatz的升级版本,最新版本是 lazykatz v4.0。
Lazykatz
PowerTool
PowerTool 一款免费强大的进程管理器,支持进程强制结束,可以解锁占用文件的进程,查看文件/文件夹被占用的情况,内核模块和驱动的查看和管理,进程模块的内存的dump等功能。最新版还支持上传文件在线扫描病毒。支持离线的启动项和服务的检测和删除,新增注册表和服务的强删功能,可在PE系统下清除感染MBR的病毒(如鬼影等)。
号称世界上最快的端口扫描神器 Masscan,根据其作者robert graham,该工具可以在不到6分钟内完成,每秒大约1000万个数据包的扫描,速度非常惊人。端口是网络通讯的入口,端口扫描是入侵的第一步。高效的端口扫描工具,可以起到事半功倍的效果。
Defender Control是一款实用的Windows Defender控制工具,这款工具的主要作用就是可以对Windows Defender进行开启和关闭操作。
DefenderControl
RDP连接工具,在网络攻击活动中,RDP弱密码作为一个很严重的问题,经常会被利用。
Rdp_Connector
Network Password Recovery(网络密码查看器)是一款功能强大的系统管理员密码密码找回软件,如果忘记了电脑系统管理员密码时,通过这款软件既可以帮助你轻松找回,让你能够继续使用电脑。
NetpassNetwork Password Recovery
Gmer
Gmer是一款来自波兰的多功能安全监控分析应用软件。它能查看隐藏的进程服务,驱动, 还能检查Rootkit,启动项,并且具有内置命令行和注册表编辑器 ,Gmer具有强大监控功能。Gmer还具备自己系统安全模式,清理顽固木马病毒很得心应手!
正如之前所说,软件的好坏取决于使用的人;或许它们在黑客手机是把剑,而在安全人员手中则就是一张盾牌。
想了解和学习更多网络安全知识,请关注头条号 黑客迷。在以后的文章中,我将会详细讲解这些工作的使用方法、发布一此好玩且有用的黑客知识。
京公网安备 11010802035086号