1.应急响应的源码神兵利器
2.请问内核级木马该怎么处理？用PChunter可以吗？该怎么操作？
3.win10 X64没法用pchunter，有什么替代的开源吗

应急响应的神兵利器

       本文主要介绍应急响应中的关键工具与方法。

       在Windows应急响应中，源码通常从网络连接、开源进程、源码文件、开源群控系统源码是干嘛的启动项、源码日志等方面入手。开源通过工具如PCHunter、源码Process Explorer、开源Autoruns、源码Process Monitor、开源Firewall Sword等，源码检查网络连接、开源进程、源码文件句柄、可疑线程、可疑进程及其加载的DLL、命令行参数、子父进程关系等。使用VirusTotal等平台进行信誉度检测。系统日志、安全软件日志、LastActivityView等工具辅助分析。

       在Linux应急响应中，思路与Windows类似，关注异常网络连接、进程、计划任务、rootkit等。使用Gscan等工具集，C 源码项目结合Chkrootkit、Rkhunter等检测已知Rootkit。Web日志和数据库日志也应检查，可能发现webshell或入侵IP。开源检测脚本如LinuxC等整合常用排查命令。

       应急响应过程主要依赖对进程、网络、持久化项、日志的分析，工具辅助简化工作。丰富的实战经验与对攻击手法的理解至关重要。在实际操作中，结合常用命令、工具，以及对系统行为的深入了解，可以更高效地定位和应对安全威胁。

       应急响应是一个需要持续学习和实践的领域，涉及复杂的技术与策略。安全客等平台提供最新资讯与交流，为应急响应人员提供支持。

请问内核级木马该怎么处理？用PChunter可以吗？该怎么操作？

       按直接操作就是鼠标右键然后就看见了你去作者主页里面有详细教材IceSwordIceSword是一斩断黑手的利刃(所以取这土名，有点搞e，呵呵)。它适用于Windows/XP/操作系统，用于查探系统中的幕后黑手(木马后门)并作出处理，当然使用它需要用户有一些操作系统的知识作者blog/user/pjfIceSword是一斩断黑手的利刃(所以取这土名，有点搞e，呵呵)。它适用于Windows/XP/操作系统，用于查探系统中的脱机grbl源码幕后黑手(木马后门)并作出处理，当然使用它需要用户有一些操作系统的知识。在对软件做讲解之前，首先说明第一注意事项：此程序运行时不可激活内核调试器(如softice)，否则系统即刻崩溃。另外使用前请保存好您的数据，以防万一未知的Bug带来损失。IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术，使得这些后门躲无所躲。IceSwordFAQ进程、端口、服务篇问：现在进程端口工具很多，什么要使用IceSword？答：1、绝大多数所谓的进程工具都是利用Windows的Toolhlp或psapi再或ZwQuerySystemInformation系统调用（前二者最终也用到此调用）编写，随便一个ApiHook就可轻轻松松干掉它们，更不用说一些内核级后门了；极少数工具利用内核线程调度结构来查询进程，这种方案需要硬编码，不仅不同版本系统不同，打个补丁也可能需要升级程序，并且现在有人也提出过防止此种查找的方法。而IceSword的dnfc 自动源码进程查找核心态方案是目前独一无二，并且充分考虑内核后门可能的隐藏手段，目前可以查出所有隐藏进程。2、绝大多数工具查找进程路径名也是通过Toolhlp、psapi，前者会调用RtlDebug***函数向目标注入远线程，后者会用调试api读取目标进程内，本质上都是对PEB的枚举，前面我的blog提到过轻易修改PEB就让这些工具找不到北了。而IceSword的核心态方案原原本本地将全路径展示，就算运行时剪切到其他路径也会随之显示。3、进程dll模块与2的情况也是一样，利用PEB的其他工具会被轻易欺骗，而IceSword不会弄错。4、IceSword的进程杀除强大且方便（当然也会有危险）。可轻易将选中的多个任意进程一并杀除。当然，说任意不确切，除去三个：idle进程、System进程、csrss进程，原因就不详述了。其余进程可轻易杀死，当然有些进程（如winlogon）杀掉后系统就崩溃了。5、对于端口工具，网上的确有很多，不过网上隐藏端口的web 项目源码方法也很多，那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找，不过不想弄得太臃肿。问：windows自带的服务工具强大且方便，IceSowrd有什么更好的特点呢？答：因为比较懒，界面使用上的确没它来的好，不过IceSword的服务功能主要是查看木马服务的，使用还是很方便的。举个例子，顺便谈一类木马的查找：有一种利用svchost的木马，怎么利用的呢？svchost是一些共享进程服务的宿主，有些木马就以dll存在，依*svchost运作，如何找出它们呢？首先看进程一栏，发现svchost过多，特别注意一下pid较大的，记住它们的pid，到服务一栏，就可找到pid对应的服务项，配合注册表查看它的dll文件路径（由服务项的第一栏所列名称到注册表的services子键下找对应名称的子键），根据它是不是惯常的服务项，很容易发现异常。剩下的工作就是停止任务或结束进程、删除文件、恢复注册表之类的了，当然过程中需要你对服务有一般的知识。问：那么什么样的木马后门才会隐藏进程注册表文件的？用IceSword又如何查找呢？答：比如近来很流行且开源（容易出变种）的hxdef就是这么一个后门。虽然它带有一个驱动，不过还只能算一个系统级后门，还称不上内核级。不过就这样的一个后门，你用一些工具，***专家、***大师、***克星看看，能不能看到它的进程、注册项、服务以及目录文件，呵呵。用IceSword就很方便了，你直接就可在进程栏看到红色显示的hxdef进程，同时也可以在服务栏中看到红色显示的服务项，顺便一说，在注册表和文件栏里你都可发现它们，若木马正在反向连接，你在端口栏也可看到，另外，内核模块中也可以看到它的驱动。杀除它么，首先由进程栏得后门程序全路径，结束进程，将后门目录删除，删除注册表中的服务对应项这里只是选一个简单例子，请你自行学习如何有效利用IceSword吧。问：“内核模块”是什么？答：加载到系统内和空间的PE模块，主要是驱动程序*.sys，一般核心态后们作为核心驱动存在，比如说某种rootkit加载_root_.sys，前面提到的hxdef也加载了hxdefdrv.sys，你可以在此栏中看到。问：“SPI”与“BHO”又是什么？答：SPI栏列举出系统中的网络服务提供者，因为它有可能被用来做无进程木马，注意“DLL路径”，正常系统只有两个不同DLL（当然协议比较多）。BHO是IE的插件，全名BrowserHelpObjects，木马以这种形式存在的话，用户打开网页即会激活木马。问：“SSDT”有何用？答：内核级后门有可能修改这个服务表，以截获你系统的服务函数调用，特别是一些老的rootkit，像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示，当然有些安全程序也会修改，比如regmon，所以不要见到红色就慌张。问：“消息钩子”与木马有什么关系？答：若在dll中使用SetWindowsHookEx设置一全局钩子，系统会将其加载入使用user的进程中，因而它也可被利用为无进程木马的进程注入手段。问：最后两个监视项有什么用处？答：“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里，“监视进程终止”记录一个进程被其它进程Terminate的情况。举例说明作用：一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程，有则杀之，若IceSword正在运行，这个操作就被记录下来，你可以查到是哪个进程做的事，因而可以发现木马或病毒进程并结束之。再如：一个木马或病毒采用多线程保护技术，你发现一个异常进程后结束了，一会儿它又起来了，你可用IceSword发现是什么线程又创建了这个进程，把它们一并杀除。中途可能会用到“设置”菜单项：在设置对话框中选中“禁止进线程创建”，此时系统不能创建进程或者线程，你安稳的杀除可疑进线程后，再取消禁止就可以了。问：IceSword的注册表项有什么特点？相对来说，RegEdit有什么不足吗？答：说起Regedit的不足就太多了，比如它的名称长度限制，建一个名长字节的子项看看（编程或用其他工具，比如regedt），此项和位于它后面的子键在regedit中显示不出来；再如有意用程序建立的有特殊字符的子键regedit根本打不开。当然IceSword中添加注册表编辑并不是为了解决上面的问题，因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写的，它不受目前任何注册表隐藏手法的蒙蔽，真正可*的让你看到注册表实际内容。问：那么文件项又有什么特点呢？答：同样，具备反隐藏、反保护的功能。当然就有一些副作用，文件保护工具（移走文件和文件加密类除外）在它面前就无效，如果你的机器与人共用，那么不希望别人看到的文件就采用加密处理吧，以前的文件保护（防读或隐藏）是没有用的。还有对安全的副作用是本来system\config\SAM等文件是不能拷贝也不能打开的，但IceSword是可以直接拷贝的。不过只有管理员能运行IceSword。最后说一个小技巧：用复制来改写文件。对一个被非共享打开的文件、或一个正运行的程序文件（比如木马），你想改掉它的内容（比如想向木马程序文件写入垃圾数据使它重启后无法运行），那么请选中一个文件（内含你想修改的内容），选“复制”菜单，将目标文件栏中添上你欲修改掉的文件（木马）路径名，确定后前者的内容就写入后者（木马）从头开始的位置。最后提醒一句：每次开机IceSword只第一次运行确认管理员权限，所以管理员运行程序后，如果要交付机器给低权限用户使用，应该先重启机器，否则可能为低权限用户利用。问：GDT/IDT的转储文件里有什么内容？答：GDT.log内保存有系统全局描述符表的内容，IDT.log则包含中断描述符表的内容。如果有后门程序修改它，建立了调用门或中断门，很容易被发现。问：转储列表是什么意思？答：即将显示在当前列表视中的部分内容存入指定文件，比如转储系统内所有进程，放入网上请人帮忙诊断。不过意义不大，IceSword编写前已假定使用者有一定安全知识，可能不需要这类功能。

win X没法用pchunter，有什么替代的吗

       有一些可以替代pchunter的工具可以用于Win X系统。这些工具包括：

       1. Process Explorer：这是一个由微软开发的免费工具，可以提供关于系统中运行进程的详细信息，包括进程ID、父进程ID、进程名称、用户账户、CPU使用率、内存使用情况等。此外，Process Explorer还提供了强大的搜索和筛选功能，可以帮助用户快速定位到可疑进程。

       2. Process Hacker：这是一个开源的进程管理工具，具有与pchunter类似的功能，可以查看和结束进程、查看进程使用的文件、注册表等。Process Hacker还支持插件扩展，可以根据需要添加更多功能。

       3. Sysinternals Suite：这是一个包含多个系统工具的软件套件，可以用于诊断和解决系统问题。其中包含的工具可以帮助用户查看系统进程、网络连接、磁盘使用情况等。

       这些工具都具有类似的功能，可以帮助用户查看系统进程和诊断问题。与pchunter不同的是，这些工具都是由知名的软件厂商或开源社区开发，具有较高的可信度和稳定性。因此，如果用户无法使用pchunter，可以尝试使用这些替代工具来解决问题。