Windows应急响应工具

Windows应急响应涉及在Windows操作系统环境下应对和处理网络安全事件的过程。其目的是迅速有效地识别、分析、遏制、恢复和事后审查安全事件。

下面是Windows应急响应的一些关键步骤和工具
PCHunter
这是一个强大的Windows系统信息查看软件，也是手工杀毒辅助软件。软件可以查看内核文件、驱动模块、隐藏进程、注册表等等信息，方便系统工程师在运维工作中获取相关数据。
网址：http://www.xuetr/
下载链接：http://www.xuetr/download/PCHunter_free.zip

ProcessExplorer
这是由Sysinternals开发的Windows系统和应用程序监视工具，已并入微软旗下。不仅结合了Filemon (文件监视器) 和Regmon（注册表监视器）两个工具的功能，还增加了多项重要的增强功能。包括稳定性和性能改进、强大的过滤选项、修正的进程树对话框（增加了进程存活时间图表）、可根据点击位置变换的右击菜单过滤条目、集成带源代码存储的堆栈跟踪对话框、更快的堆栈跟踪、可在64位Windows上加载2位日志文件的能力、监视映像（DLL 和内核模式驱动程序）加载、系统引导时记录所有操作等。
网址：https:///zh-cn/
下载链接：https:///en-us/sysinternals/downloads/process-explorer

Sysmon
这是由Windows Sysinternals出品的一款Sysinternals系列中的工具。系统监视器（Sysmon）是Windows系统服务和设备驱动程序，一旦安装在系统上，便会驻留在系统重新引导期间，以监视系统活动并将其记录到Windows事件日志中。它提供有关进程创建，网络连接以及文件创建时间更改的详细信息。可以使用相关日志收集工具，收集事件并随后对其进行分析，可以识别恶意或异常活动，并了解入侵者和恶意软件如何在您的网络上运行。
Windows版：https://download.sysinternals/files/Sysmon.zip
Linux版本：https://github/Sysinternals/SysmonForLinux

dumplt
这是一款免安装的绿软件。一般用于把Windows内存以镜像的形式保存下来，用于后续的取证工作。
百度网盘：https://pan.baidu/s/1Ms4FcqzK7Vp1bHwe10Uapw 提取码：m5lp

Volatility
这是一款开源内存取证框架，能够对导出的内存镜像进行分析，通过获取内核数据结构，使用插件获取内存的详细情况以及系统的运行状态。
网址：https://www.volatilityfoundation/26