文章总结： 本文介绍应急响应及溯源分析常用工具，强调在虚拟机快照环境操作。推荐安天ActionScope监控样本行为，Sandboxie隔离执行，klogg分析大日志，MemScanner定位外联进程，Everything搜索残留文件。此外涵盖钓鱼邮件分析及监控工具，旨在通过工具组合提升事件处置效率。 综合评分： 70 文章分类： 应急响应,安全工具,恶意软件

应急响应及溯源常用工具

原创

SharkJ0001

Neon-X Sec

2025年12月29日 17:47 河北

本期文章专门分享一下应急及溯源中能用到的工具，文末有工具集合获取方式

在使用工具对样本分析的时候，建议全部在虚拟机中执行，并且将工具全部部署好后，新建虚拟机快照之后再去测试样本，极大缩减该样本或者其他样本的测试时间，避免返工搭建环境。

1.安天动态分析工具——Action Scope

通过动态行为监控，可以记录样本文件每一步执行的具体行为、模块调用、释放文件位置及漏洞利用等情况。能够有效定位恶意文件释放的样本位置，尤其是银狐。

双击运行，如果有弹窗输入相关的激活码就行了

效果就是这样，如果没有检测到生成的文件可以多试几次，但是前提一定是在虚拟机里面进行测试，因为他会导致病毒样本执行，提示中也会有

安天的另一款工具有兴趣的也可以看看——ATool 系统安全内核分析工具

2.本地沙盒——Sandboxie

这个在上一期文章中出现过一次，可以用于病毒样本的执行检测，观察相关文件，并且能够通过沙盒来控制病毒样本呢执行的权限，可以参考一下上一期文章，在没有网络权限下的样本呢是没办法产生其他的生成文件的银狐-程序伪装-sihost.exe外联

在沙盒中运行的文件虽然不会影响本机，但依然建议在虚拟机中进行测试

3.文件监控工具——Foldermonitor鹿鸣汉化版

这个工具可以全局记录生成文件指定位置添加就行（在虚拟机中一般就指定C盘），最开始用的时候还行，后面感觉不是很好用，监控生成的文件不能过滤，好处在于对于生成文件为敏感后缀的可以快速定位，但是这个现在基本被安天的第一款工具取代了。不过也可以用于映照使用，实际中遇到过安天执行后有时候执行后监测到的结果不一样，不知道是不是虚拟机快照的原因。

4.邮箱——火狐老版本邮箱

用于钓鱼邮件的分析，现在的邮箱基本上都是要求登录的，而且如果在虚拟机中去测试也不方便登录，老款的邮件程序没有现在这么复杂的验证，乱点一通注册信息就行，然后拖动导出的邮件用到安装完的图标打开，用来看钓鱼邮件还是不错的

5.日志查看工具——klogg

能够轻松查看10G级日志，能够根据关键词搜索日志，当比较大的日志文件需要人工审查时候，因为加载速度够快个人觉得还是比较好用的

6.dns解析外联——MemScanner

这个是之前工作的时候常遇到过的情况，一些zf单位因为计算机老旧和插拔优盘，隔一段时间都会有外联恶意域名的告警，但是设备仅报外联的域名不报外联的IP（情况大致就是这样，通过netstat命令无法定位进程）这时候可以用这个工具，相当于打开了DNS解析记录日志，这样就可以去查是哪个程序发起进而去定位了，当然也可能定位不到或者定位到一个系统进程上面（注入的情况）

7.文件查找工具——Everything

这个工具很多人肯定都知道，这个在溯源样本的过程中，遇到用户说不知道没下载没用过各类的话，查下载记录查回收站都没有发现情况下，可以用Everything过滤所有exe程序后按时间排序，看一下近期有没有有问题的，或者根据近期发现的样本残留特征，搜之前发现的执行残留文件

上面分享的是平时用到的一些，还有些不在分享的连接里面，比如ProcessExplorer、ProcessHacker、ProcessMonitor都是常见的工具，就不一一介绍了，功能上大差不差的就看怎么配合使用及使用的效果如何。分享的工具如下，有些没介绍不会用的可以自己搜一下看看具体使用功能。

本次分享就这些了，如果有什么问题或者工具需求可以评论区交流讨论，也可以后台发送私信，如果觉得分享有用帮忙点个赞和推荐

工具获取后台回复1230

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Neon-X Sec SharkJ0001《应急响应及溯源常用工具》