WDavid404 / THM_CyberDefense

0 stars 0 forks source link

Security Operations & Monitoring -- Sysinternals #6

Open WDavid404 opened 1 year ago

WDavid404 commented 1 year ago

Sysinternals

The Sysinternals tools is a compilation of over 70+ Windows-based tools. Each of the tools falls into one of the following categories:

Download page

https://docs.microsoft.com/en-us/sysinternals/downloads/

Web page

https://docs.microsoft.com/en-us/sysinternals/downloads/process-utilities/

Live URL

https://live.sysinternals.com/ Sysinternals Live is a service that enables you to execute Sysinternals tools directly from the Web without hunting for and manually downloading them. Simply enter a tool's Sysinternals Live path into Windows Explorer or a command prompt as live.sysinternals.com/ or \live.sysinternals.com\tools\.

Based on the instructions, to launch Process Monitor from the web the syntax is \live.sysinternals.com\tools\procmon.exe

Sysinternals Suite包含一系列免费的系统工具,其中有大名鼎鼎的Process Explorer、FileMon、RegMon等 https://zhuanlan.zhihu.com/p/569262316

官网: https://learn.microsoft.com/zh-cn/sysinternals/​learn.microsoft.com/zh-cn/sysinternals/

Sysinternals每个特色小工具详细功能解讲

AccessChk

Windows管理员往往需要知道什么样的访问特定的用户或团体的资源,包括文件,目录,注册表项 和Windows服务。 AccessChk将回答这些问题的一个直观的界面和输出。

AccessEnum

AccessEnum可以让你在数秒的时间内了解目录、文件以及注册表的权限设置情况,快速找到安全漏洞并锁定需要保护的权限。对于虚拟主机管理者来讲帮助会更大。

CacheSet

CacheSet 允许您处理系统文件缓存中的工作集参数。CacheSet 可以在所有版本的 NT 上运行,而且在不对新 Service Pack 版本进行修改的情况下也可运行。除了使您能够控制工作集大小的最小值和最大值,它还允许您重置缓存的工作集,强制它在必要时从一个最小的起点开始增长。CacheSet 的更改会对缓存的大小立即产生影响。注意:要在 NT 4.0 Service Pack 4 上使用 CacheSet,您必须拥有“增加配额”的权限(管理员账户默认拥有此权限)。CacheSet 已经获得更新可启用此权限,因此它可以在 SP4 上运行。

Contig

一个基于命令行的小程序,能够快速有效的整理硬盘上的文件碎片,可以使文件变的连续,提高访问速度。Power Defragmenter是一个高手编写的Contig的GUI版本,带有一个图形界面,用起来更方便,更直观。可以大大提高碎片整理速度。使用前需要把Contig与Power Defragmenter放在同一文件夹下。

DiskExt

DiskExt 展示了对 IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS 命令的使用,该命令返回有关某卷的分区位于哪个磁盘(多分区磁盘可以驻留在多个磁盘上),以及分区位于磁盘上的什么位置等信息。

DiskMon

Diskmon是一硬盘数据存取实时监控软件,能够将 Windows NT/2000/XP 操作系统的硬盘数据存取时间滴水不漏地纪录下来,您还可以将纪录文件储存成 LOG 文字文件。

DiskView

DiskView 该软件集成于微软的Windows操作系统的资源管理器以显示一个直观的磁盘空间使用情况。该软件的Visualizer面板在一个图形图表中提供关于当前文件夹的详细使用情况信息。文件和文件夹空间占用情况以及在Windows 操作系统的资源管理器中的Details view 的Relative Size能够使用DiskView's Size On Disk进行观看。

FileMon

Filemon 是一款出色的文件系统监视软件,它可以监视应用程序进行的文件读写操作。它将所有与文件一切相关操作(如读取、修改、出错信息等)全部记录下来以供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理,这就为用户对系统的维护提供了极大的便利。

NTFSInfo

怎样得到你自己个人的NTFS volumes呢?比如扇区的数量,簇的大小,以及其它有趣的NTFS 的信息?在一些细节方面,NTFSInfo会为你提供如下信息:

PageDefrag

标准的碎片整理程序既无法向您显示分页文件和注册表配置单元的碎片化情况,也无法对它们进行碎片整理。分页和注册表文件碎片化可能是系统因文件碎片化而导致性能下降的首要原因之一。 PageDefrag 使用先进的技术向您提供商业碎片整理程序无法提供的服务:即查看分页文件和注册表配置单元的碎片化情况,并且对它们进行碎片整理的能力。此外,它还对事件日志和 Windows 2000/XP 休眠文件(当休眠笔记本电脑时保存系统内存的地方)进行碎片整理。

Process Monitor

进程监视器,这是一个高级的Windows监视工具,不但可以监视进程/线程,还可以关注到文件系统,注册表的变化.它包含2个Sysinternals遗留组件:Filemon 和 Regmon,并添加了大量功能。

PsFile

PsFile是一个显示机器上的会话和有什么文件被网络中的用户打开的命令。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

PsTools

PsTools是Sysinternals公司推出的一个功能强大的远程管理工具包,一共由12个命令组成,可以用来远程管理Windows NT/2000/XP系统。可以远程整理硬盘、关闭远程计算机上运行的信使服务、查看服务器硬盘空间、查看远程计算机上的进程,并结束可疑进程、发送消息并快速关闭远程计算机等。

SDelete

当操作系统处于非活动状态时,可以使用原始磁盘编辑程序和恢复工具查看和恢复操作系统已取消分配的数据。即使使用 Win2K 的加密文件系统(EFS) 加密文件,文件的原始未加密文件数据在创建该文件的新的加密版本后仍然保留在磁盘上。

要确保使用 EFS 加密的文件以及已删除的文件无法恢复,唯一的方法是使用安全删除应用程序。安全删除应用程序使用能够使磁盘数据无法恢复的技术,甚至使用可以读取磁性媒体中揭示弱删除文件的模式的恢复技术来覆盖已删除文件的磁盘数据。SDelete(安全删除)就是这样一个应用程序。您既可以使用 SDelete 安全地删除现有文件,也可以安全地擦除存在于磁盘的未分配部分中的任意文件数据(包括您已经删除或加密的文件)。SDelete 实施了美国国防部资料摧毁标准 (Clearing and Sanitizing Standard) DOD 5220.22-M,以使您确信在使用 SDelete 删除文件数据后,这些数据将彻底消失。

ShareEnum

Windows NT/2000/XP 网络安全中经常被忽略的方面是文件共享。当用户以宽松的安全标准定义文件共享时,通常会出现安全缺陷,从而使得未经授权的用户可以查看敏感文件。没有任何一款内置工具可以列出网络中可见的共享及其安全设置,但 ShareEnum 填补了这一空白,使您可以锁定网络上的文件共享。

运行 ShareEnum 时,它将使用 NetBIOS 枚举功能来扫描可以访问的域中的所有计算机,从而显示文件和打印共享及其安全设置。由于只有域管理员具有查看所有网络资源的权限,所以在您以域管理员帐户运行 ShareEnum 时,它才最有效。

Sigcheck

验证映像进行了数字签名并使用这一简单的命令行实用工具转储版本信息。 One way to use the tool is to check for unsigned files in your \Windows\System32 directories with this command: sigcheck -u -e c:\windows\system32 You should investigate the purpose of any files that are not signed

Streams

NTFS 文件系统为应用程序提供创建信息备用数据流的能力。默认情况下,所有数据都存储在文件的主要未命名数据流中,但通过使用“file:stream”语法,您就能读取和写入备用数据流。不是所有应用程序都编写为能够访问备用数据流,但您可以非常简单地演示数据流。首先,在命令提示符中,更改到 NTFS 驱动器上的一个目录。然后,键入“echo hello > test:stream”。您刚刚创建了一个与文件“'test”相关联的数据流,名为“stream”。请注意,在查看 test 的大小时,它报告为 0,并且在用任何文本编辑器打开时,文件看上去是空的。要查看您的数据流,请输入“more < test:stream”(type 命令不接受数据流语法,因此您需要用 more)。 Streams 将检查您指定的文件和目录(注意目录也可以有备用数据流),通知您在那些文件中遇到的任何命名数据流的名称和大小。

Malware writers have used ADS to hide data in an endpoint, but not all its uses are malicious. When you download a file from the Internet unto an endpoint, there are identifiers written to ADS to identify that it was downloaded from the Internet. Example: A file downloaded from the Internet. image Since the file has this identifier, additional security measures are added to its properties. image

Autologon

可以实现自动登录系统,无需手动输入帐户、域名和密码。其实就是在系统注册表中添加帐户信息和登录信息的键值。不过由软件来实现更加简单了,如同简单的脚本。

LogonSessions

如果您认为在登录系统时只有一个活动的登录会话,那么这个实用程序会让您大吃一惊。会列出当前活动的登录会话,而如果您指定了 -p 选项,它还会列出正在每个会话中运行的进程。LogonSessions 可以在 Windows 2000 和更高版本上运行。

NewSID

NewSID ,顾名思义,就是可以利用它来为计算机重新生成新的SID号。为什么要重新定义新SID?如果用Ghost的镜像批量的来安装系统,那么它们的SID号必然相同。若内部网络上计算机SID相同就会造成许多冲突,加入域也会有很大问题,甚至造成客户机无法加入到域。

Windows 安装光盘不是已经提供了Sysprep吗?什么还要用NewSID呢? 1、 凡用过Sysprep的朋友都应该知道,如果用Sysprep来重新封装系统,在重启之后会要求我们重新输入产品序列号和重新添加用户,对于企业来说很多时候是不希望员工得到产品ID的,让非IT职员来完成系统任务也很有可能造成一些不必要的麻烦。 2、 正是基于我们这些迫切需求,NewSID可谓是一个完美的解决方案。它提供三种方式来让我们重新生成SID:a.随机产生 b.从其它计算机复制 c.手工输入 ,以上这三种方式可以满足大多数用户的需求。我们还可以选择是否重新给计算机更名,最后也可以手工指定在SID重定义完成后是否重启计算机。 3、 计算机重启之后不会让我们再次输入产品序列号,也不会让我们重新添加用户,这为我们减少了很多不必要的麻烦。

PsExec

PsExec 是一个轻型的 telnet 替代工具,它使您无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。PsExec 最强大的功能之一是在远程系统和远程支持工具(如 IpConfig)中启动交互式命令提示窗口,以便显示无法通过其他方式显示的有关远程系统的信息。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

PsLogList

PsLogList是一个查看系统事件记录的程序。它也是 Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

RootkitRevealer

RootkitRevealer 是一种高级 Rootkit 检测实用工具。它可以在 Windows NT 4 和更高版本上运行,而且其输出会列出注册表和文件系统 API 的差异,从而可以指出是否存在用户模式或内核模式 Rootkit。RootkitRevealer 可以成功检测出在 www rootkitcom 上发布的所有永久性 Rootkit,包括 AFX、Vanquish 和 HackerDefender(注意:RootkitRevealer 不会有意检测那些不试图隐藏其文件或注册表项的 Rootkit,如 Fu)。

AD Explorer

Active Directory Explorer (AD Explorer) ,是先进的Active Directory ( AD )的查看器和编辑器。 使用AD Explorer,用户可以快捷地浏览AD数据库,自定义快速入口,无需打开对话框即可查看对象属性、编辑权限、浏览一个对象的模式、 进行精确搜寻等。

AdRestore

Server 2003 引入了还原已删除(“已逻辑删除的”)对象的功能。这一简单的命令行工具可以列出域内的已删除对象,并允许您选择还原这些对象。

TCPView

一个很好的检测端口的软件,很小很好用。

In the below image, I unselected Listen in the Connection States from the States Filter and turned off UDP v4 and UDP v6 from the top toolbar. image

Autoruns

强大、完整的启动项扫描工具!

ClockRes

用于显示系统时钟分辨率以及应用程序可以获得的最大计时器分辨率。

LoadOrder

这个小程序可以向您展示 Windows NT 或 Windows 2000 系统加载设备驱动程序的顺序。请注意,Windows 2000 即插即用驱动程序的实际加载顺序可能与计算的顺序有所不同,因为即插即用驱动程序是在设备检测和枚举期间根据需要加载的。

ProcFeatures

ProcessorFeatures使用 Windows IsProcessorFeaturePresent API 来确定处理器和 Windows 是否支持无执行页面、物理地址扩展(PAE) 及实时时钟周期计数器等各种功能。其主要用途是确定系统运行 PAE 版本的内核以及支持无执行缓冲区溢出保护。

PsLoggedOn

这一小程序可以显示本地登录的用户和通过本地计算机或远程计算机的资源登录的用户。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

RegMon

Regmon 是一款出色的注册表数据监视软件,它将与注册表数据相关的一切操作(如读取、修改、出错信息等)全部记录下来供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理,这就为用户对系统的维护提供了极大的便利。

PortMon

Portmon 是用于监视和显示系统中所有串行端口和并行端口活动的实用工具。它具有高级筛选和搜索功能,使其处理以下操作的功能强大的工具:探索 Windows 工作的方式、查看应用程序如何使用端口,或跟踪系统中或应用程序文件配置中的问题。

Process Explorer

很不错的进程管理工具,可以设置为完全取代系统自带任务管理器taskmgr,成为系统默认的“任务管理器”。里头的各种监视器非常直观地监视或者记录着系统当前的状态,而且易用性非常高。支持XP及以上系统,支持Win2003及以上系统。

PsGetSid

PsGetSid是一个远程获取账号sid信息的工具。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

PsKill

Windows NT/2000 没有附带命令行终止实用工具。您可以从 Windows NT 或 Win2K 资源工具包中找到终止实用工具,但资源工具包中的实用工具只能终止本地计算机上的程序。PsKill 是一个终止实用工具,它不仅具有资源工具包所具有的功能,而且可以终止远程系统上的进程。您甚至不必在目标计算机上安装客户端,就可以使用 PsKill 终止远程进程。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

PsList

该程序用于列出本地或远程NT主机进程相关信息的工具,适于配合PsKill使用。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

PsService

PsService 是一个用于 Windows 的服务查看器和控制器。与 Windows NT 和 Windows 2000 资源工具包附带的 SC 实用工具类似,PsService 可显示服务的状态、配置和相关性,并允许您启动、停止、暂停、恢复和重新启动这些服务。但与 SC 实用工具不同,对于您所运行的帐户在远程系统中没有必需的权限时,PsService 使您可以使用不同的帐户登录远程系统。PsService 包含一个独特的服务搜索功能,该功能可标识您的网络中某一服务的活动实例。例如,如果要定位运行 DHCP 服务器的系统,您可以使用此搜索功能。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

PsSuspend

PsSuspend 使您可以挂起本地或远程系统中的进程,如果您希望让其他进程使用某个进程正在占用的资源(例如,网络、CP或磁盘)时,它非常有用。挂起功能允许您让占用资源的进程在以后的某个时间点继续操作,而不必终止该进程。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

BgInfo

在桌面上列表显示计算机软、硬件信息,包括CPU主频、网络信息、操作系统版本、IP地址、硬盘信息等等。

BlueScreen

Bluescreen是一个屏保,安装之后,它的画面会随着操作系统的不同而有所差异: 在NT4.0里,Bluescreen 会模拟执行 chkdsk 的画面-而且会有硬盘错误的讯息出现! 在 Win2K、9x 之下,它会出现 Win2K 的错误讯息,还有重新开机的画面!

Desktops

Desktops 可以让你的windows同时扩展出4个虚拟桌面。你可以在一个上面阅读邮件,在第二个上面浏览网页,在第三个上面上网...你可以通过点击托盘的图标来切换它们,当然也支持快捷键。

RegDelNull

这个命令行程序可以搜寻并删除包括内嵌 Null 字符的注册表项目。这种注册表项目使用标准的注册表编辑工具则无法被删除。

ZoomIt

ZoomIt有屏幕放大、在屏幕上进行注释、计时提醒三大功能。