阿峰博客 阿峰'S blog

为了帮助安全分析师更好的完成工作，小编整理了一些现在比较流行的安全应急响应工具和资源，从磁盘镜像创建工具、内存分析工具到内存镜像工具、沙盒/逆向工具等，相信总有一款适合你。

磁盘镜像创建工具

GetData Forensic Imager - GetData Forensic Imager是一款基于Windows的程序，能对常见的取证文件格式进行捕获，转换或验证取证镜像。

Guymager - Guymager是一款在Linux下进行捕获媒体取证镜像的免费软件。

AccessData FTK Imager - AccessData FTK Imager这款取证工具最主要的功能就是预览可恢复的磁盘数据，FTK Imager

同时还能实时抓取内存及注册表，EFS文件检测。

内存分析工具

Volatility - 高级内存取证框架。

Evolve - Volatility内存取证框架的Web接口。

WindowsSCOPE - 另一款用来分析volatile内存取证和逆向工程的工具，通常被用来对恶意软件进行逆向分析，其提供了对Windows内核，驱动，DLLs，虚拟以及物理内存的分析。

Responder PRO - Responder PRO 物理内存和自动化恶意软件分析解决方案的行业标准。

KnTList - 计算机内存分析工具。

Rekall - 可从volatile内存(RAM)样本中提取信息的一款开源软件。

Memoryze - Mandiant公司的Memoryze是一款免费的内存取证软件，可帮助应急响应人员从实时内存中找到关键问题，Memoryze能捕获或者分析内存镜像。

Memoryze for Mac - Memoryze for Mac是Memoryze针对Mac电脑的版本，然而特性比较少。

内存镜像工具

OSForensics - OSForensics可在32bit及64bit系统下捕获实时内存，转储一个单独进程的内存空间或者物理内存。

Belkasoft Live RAM Capturer - 一款轻量级能可靠提取计算机volatile内存全部内容的免费取证软件。

进程转储工具

PMDump - PMDump是一款命令行工具，在不结束程序运行的情况下转储一个进程的内存内容。

Microsoft User Mode Process Dumper - The User Mode Process Dumper (userdump)转储所有运行着的Win32进程的动态内存映像。

‍‍

Timeline工具

Plaso - 基于Python后端引擎的log2timeline工具。

Timesketch - 用于协作取证的时间轴分析开源工具。

Highlighter - 可从Fire/Mandiant找到的免费工具，为用户提供了3种分析查看方式。

工具包

X-Ways Forensics - X-Ways是一款针对Disk克隆和镜像的取证工具，也可用来查找被删除的文件及磁盘分析。

The Sleuth Kit & Autopsy - The Sleuth Kit是一款基于Unix和Windows的工具对计算机进行取证分析。其中包含了各种有助于数字取证的工具，这些工具有帮助分析磁盘镜像，对文件系统的深入分析等等。

Open Computer Forensics Architecture - Open Computer Forensics Architecture (OCFA)是另一个比较受关注的分布式开源计算机取证框架。该框架建立在Linux平台并且使用postgreSQL数据库存储数据。

Digital Forensics Framework - DFF是以专用API为基础的一个开源计算机取证平台。DFF提出了一个替代传统数字取证的解决方案，设计得更简洁，自动化。DFF接口引导用户通过一个主要的数字调查步骤，让用户选择专业模式或者非专业模式来快速进行数字调查以及执行事件响应。

Osquery - osquery是一个SQL驱动操作系统检测和分析工具。osquery支持像SQL语句一样查询系统的各项指标，可以用于OSX和Linux操作系统。它使得底层操作系统分析和监控性能更加直观。

MozDef - MozDef(The Mozilla Defense Platform)正在寻找自动处理安全事件处理程序，并实时调用事件处理程序。

GRR Rapid Response - GRR Rapid Response是一款专注于远程实时取证的事件响应框架，它由一个安装在目标系统上的Python代理(客户端)和一个可与Python代理连接的Python服务端组成。

MIG - Mozilla Investigator(MIG)是一款由Mozilla开发的分布式取证开源框架。MIG即使检测数千台服务器速度依旧很快，其只专注于在大量的系统中搜索正则表达式和字符串，非常高效。

Redline - 通过内存或文件分析为用户提供主机调查功能发现恶意软件的迹象，以及威胁评估的概要文件。

事件管理

FIR - Fast Incident Response (FIR) 是一款以快速简单为设计思想的网络安全事件管理平台，允许简单快速创建，跟踪，报告网络安全事件，对于CSIRTs，CERTs和SOCs非常有帮助。

SCOT - Sandia Cyber Omni Tracker (SCOT)是一款专注于灵活性和易用性的时间响应手机和知识获取工具，其目标是在不加重用户负担的情况下提高事件响应过程价值。

RTIR - Request Tracker for Incident Response (RTIR)早前是一款针对计算机安全团队进行事件处理的开源系统。

Windows证据收集

FECT - Fast Evidence Collector Toolkit (FECT)是一款非常有亮点的收集可疑Windows计算机证据的事件响应工具包就算你不太懂技术你也能非常熟练的使用这款工具。

PSRecon - 这个脚本程序仅通过一个本地的Windows工具，就可以收集当前状态下的电子证据和系统数据。这个脚本还包含账号锁定功能，这个功能可以在脚本对活动目录进行数据采集的时候，有效地阻止可疑主机对系统的访问。

DumpIt - DumpIt用于在Windows机器生成一个物理内存转储，可在x86 (32-bits)和x64 (64-bits)机器上工作。

AChoir - Achoir是一个用来简化Windows实时取证工具流程的框架/脚本工具。

RegRipper - Regripper是一款用Perl编写的开源工具，可从注册表提取/解析信息(keys, values, data)。

‍‍

OSX证据收集

OSX Auditor - OSX Auditor是一款免费的Mac OS X计算机取证软件。

沙盒/逆向工具

Cuckoo - 可配置性超高的开源沙盒工具。

Mastiff - MASTIFF是一款可从许多种文件格式中自动提取进程中的关键特征的静态分析框架。

Viper - Viper是一款基于python的二进制分析和管理框架，在Cuckoo和YARA中能很好的完成工作。

Virustotal - Virustotal是Google的子公司，免费的在线文件分析相信大家都在使用。

Malwr - Malwr是一个由Cuckoo沙盒打造的免费在线恶意软件分析服务和社区。

其他工具

Hindsight - Google Chrome/Chromium插件，用于互联网历史取证。

Kansa - Kansa是Powershell中事件响应框架模块。

Stalk - 收集MySQL相关的取证数据。

Videos

Demisto IR video resources - 事件响应和取证工具相关的视频资源。

The Future of Incident Response - Bruce Schneier在OWASP AppSecUSA 2015中提供的资料。

‍‍

Books‍‍

The Practice of Network Security Monitoring: Understanding Incident Detection and Response - Richard Bejtlich所著。

*原文：github，编译/FB小编鸢尾，本文转载于FreeBuf黑客与极客（FreeBuf.COM）