本質上來說,工具軟件是無害的,取決於人如何使用,就像一把菜刀,可以用來切菜,也可以用來砍人,不過話又說回來,在特定場景和環境,我們又不得不對這些工具進行限制。同樣以菜刀為例,菜刀在國內密集人流環境下,多數情況下是不允許被攜帶的。
其實,對網絡安全、攻防對抗來講,工具也是承擔類似的角色,黑產團隊可以用這些工具攻擊,安全團隊也可以用這些工具防守,至於利弊來講,是取決於使用者的最終目的的。以開源工具Process Hacker為例,安全團隊可以用這個工具進行應急響應、惡意進程分析、病毒查殺;而黑產團隊可以用這個工具對安全軟件進行卸載,對系統或應用級保護機制進行破壞。
PCHunter
pchunter
PCHunter是一款功能強大的Windows系統信息查看軟件,同時也是一款強大的手工殺毒軟件。用它不但可以查看各類系統信息,也可以揪出電腦中的潛伏的病毒木馬。PCHunter是一款驅動級高權限工具軟件,可以對進程、線程、進程模塊、進程窗口、進程內存信息查看,殺進程、殺線程、卸載模塊等功能,正因如此,黑客也有可能使用這個工具,先把本地保護機制破壞掉,然後就可以肆無忌憚的對計算機進行各種操作。
Process Explorer
Process Explorer
Process Explorer 是一款由 Sysinternals 公司開發的一款系統軟件,可以列出了PC上每個正在運行的應用程序,以及有關正在運行的進程和打開的文件的信息。在Process Explorer中,列表以樹形結構顯示,所有內容均顯示在兩個面板的窗口中。上面的面板列出了當前的應用程序,而下面的面板使您可以訪問有關所選過程的詳細信息。您可以選擇停止單個應用程序,更改當前正在運行的進程的優先級以及查看每個進程的屬性。這些屬性顯示每個進程佔用了多少內存和空間。您還可以使用Process Explorer查找有關係統的特定信息。其中包括系統當前運行狀況的摘要,以及CPU,內存,輸入和輸出的統計信息和圖表。
Process Monitor
Process Monitor
Process Monitor 也是一款由 Sysinternals 公司開發的包含強大的監視和過濾功能的高級 Windows 監視工具,可實時顯示文件系統、註冊表、進程/線程的活動。可以捕獲進程的詳細信息,包括映像路徑、命令行、用戶和會話 ID等功能非常強大。它結合了兩個 Sysinternals 的舊版工具 Filemon 和 Regmon 的功能,並添加了一個包含豐富的和非破壞性的廣泛增強過濾功能列表,全面的事件屬性(例如會話 ID 和用戶名稱),可靠的進程信息,每個操作的完整線程、堆棧與集成符號支持,同時記錄到一個文件中,以及更多。其獨一無二的強大功能將使 Process Monitor 在您的系統故障排除和惡意軟件檢測中發揮重要的作用。Process Monitor 可以說是安全人員必備工具之一,在對惡意軟件分析中擔任著很重要的角色。
ProcessHacker
ProcessHacker
Process Hacker 功能和PCHunter 類似,是一款針對高級用戶的安全分析工具,它可以幫助研究人員檢測和解決軟件或進程在特定操作系統環境下遇到的問題。除此之外,它還可以檢測惡意進程,並告知我們這些惡意進程想要實現的功能。Process Hacker是一個開源項目,Process Hacker跟ProcessExplorer十分相似,但是Process Hacker提供了更多的功能以及選項。而且由於它是完全開源的,所以我們還可以根據自己的需要來自定義其他功能。就是這樣一款工具,安全人員和黑客,均可以拿來使用,至於是用來應急響應和查殺病毒,還是用來破壞系統或應用,就取決於使用者。
Mimikatz
Mimikatz
windows密碼抓取神器Mimikatz是法國人Genti Kiwi編寫的一款windows平臺下的工具,它開發了很多功能,最令人熟知的功能是直接從lsass.exe進程裡獲取Windows處於激活狀態賬號的明文密碼。也正是因為此功能,常常被黑客所使用,用於提取被入侵主機更多的賬號密碼。
PsExec
PsExec
PsExec 是一個輕型的 telnet 替代工具,它使你無需手動安裝客戶端軟件即可執行其他系統上的進程,並且可以獲得與控制檯應用程序相當的完全交互性。這是一款微軟官方網站可以下載的工具,有數字簽名,屬於“根正苗紅”類型的,很少有殺毒軟件會將這個軟件當作病毒的,因為本身它也有正常的用途的。不過,或許正是因為此(殺軟不敢“動它”),黑客在攻擊中,也時常會使用這個工具,進行遠程病毒執行和內網擴散。
DUBrute
DUBrute是一款強大的遠程桌面(3389)密碼破解軟件,你可以用本附件的掃描功能來自動掃描活躍IP地址,掃描完成後設置好用戶名與需要猜解的密碼就可以開始全自動工作了。
NLBrute
一款爆破工具,跟DUBrute比較類似,不同黑產團隊可能使用不同的爆破工具,或者基於某種考慮,會輪換使用相同類型的不同工具。
WebBrowserPassView
WebBrowserPassView
WebBrowserPassView是一款功能強大的網頁密碼查看工具。該款工具會自動找出你在瀏覽器裡面保存過的的帳號和對應的密碼並顯示出來,只要啟動它,經過幾秒鐘之後,就會看到畫面上出現你的瀏覽器所記憶的網址、帳號及密碼了!目前一共支持了IE1~IE9、Firefox、Chrome及Opera等四種主流瀏覽器。
PortScan & Stuff
PortScan & Stuff
PortScan & Stuff 是一款端口掃描工具,可以快速檢查IP範圍並返回有關運行中的計算機的信息。如果您希望檢查網絡計算機的詳細信息,它特別有用,PortScan並不是一個很複雜的程序,儘管它或多或少顯然沒有針對初學者。其簡潔的界面依賴於選項卡式佈局,因此您只需單擊即可輕鬆訪問所需的功能。它掃描所有可用的端口,並顯示每臺連接的計算機的詳細信息,例如MAC地址,主機名,打開的端口和HTTP服務器。
此外,您還可以啟動ping會話並ping IP地址或主機名,並可以使用以下三種模式:3個短ping,大ping套件和連續清管。該應用程序結合了具有基本選項的速度測試工具,從而幫助您確定網絡連接的下載和上傳速度。您不需要Windows 7計算機上的管理員特權,但是必須在防火牆中授予對網絡的訪問權限。
Lazykatz
Mimikatz作為一款神器,已廣為人知,殺毒軟件已將此軟件視為“病毒”和“黑客工具”。為了逃避檢測和加強繞過,Lazykatz是Mimikatz的升級版本,最新版本是 lazykatz v4.0。
Lazykatz
PowerTool
PowerTool
PowerTool 一款免費強大的進程管理器,支持進程強制結束,可以解鎖佔用文件的進程,查看文件/文件夾被佔用的情況,內核模塊和驅動的查看和管理,進程模塊的內存的dump等功能。最新版還支持上傳文件在線掃描病毒。支持離線的啟動項和服務的檢測和刪除,新增註冊表和服務的強刪功能,可在PE系統下清除感染MBR的病毒(如鬼影等)。
Masscan
號稱世界上最快的端口掃描神器 Masscan,根據其作者robert graham,該工具可以在不到6分鐘內完成,每秒大約1000萬個數據包的掃描,速度非常驚人。端口是網絡通訊的入口,端口掃描是入侵的第一步。高效的端口掃描工具,可以起到事半功倍的效果。
DefenderControl
Defender Control是一款實用的Windows Defender控制工具,這款工具的主要作用就是可以對Windows Defender進行開啟和關閉操作。
DefenderControl
Rdp_Connector
RDP連接工具,在網絡攻擊活動中,RDP弱密碼作為一個很嚴重的問題,經常會被利用。
Rdp_Connector
Netpass
Network Password Recovery(網絡密碼查看器)是一款功能強大的系統管理員密碼密碼找回軟件,如果忘記了電腦系統管理員密碼時,通過這款軟件既可以幫助你輕鬆找回,讓你能夠繼續使用電腦。
NetpassNetwork Password Recovery
Gmer
Gmer
Gmer是一款來自波蘭的多功能安全監控分析應用軟件。它能查看隱藏的進程服務,驅動, 還能檢查Rootkit,啟動項,並且具有內置命令行和註冊表編輯器 ,Gmer具有強大監控功能。Gmer還具備自己系統安全模式,清理頑固木馬病毒很得心應手!
結尾
正如之前所說,軟件的好壞取決於使用的人;或許它們在黑客手機是把劍,而在安全人員手中則就是一張盾牌。
想了解和學習更多網絡安全知識,請關注頭條號 黑客迷。在以後的文章中,我將會詳細講解這些工作的使用方法、發佈一此好玩且有用的黑客知識。
閱讀更多 黑客迷 的文章
