文章总结： 本文介绍了应急响应及溯源中常用的八个工具，涵盖动态分析、内核检测、沙盒隔离、文件监控、日志审查及网络溯源等场景。重点推荐了安天ActionScope、ATool、Sandboxie及klogg等工具，并强调在虚拟机环境创建快照以保障安全。 综合评分： 82 文章分类： 应急响应,恶意软件,安全工具,威胁情报

应急响应及溯源过程中常用的工具

原创

guowei

网络安全直通车

2025年12月31日 09:25 北京

应急响应及溯源过程中常用的工具列表，强调在虚拟机环境中使用工具的重要性，并建议在测试样本前创建虚拟机快照以提高效率，避免环境重建。以下是对每个工具的详细总结：

1. 安天动态分析工具——Action Scope

   该工具用于动态行为监控，可以记录样本文件执行时的具体行为、模块调用、文件释放位置及漏洞利用情况，特别适用于检测银狐等恶意软件。工具支持32/64位系统，运行时可能需要输入激活码。它通过注入内核和进程监控，详细展示API调用、危险行为等数据，帮助定位恶意活动。

   

2. 安天系统安全内核分析工具——ATool

   作为免费工具，ATool用于分析系统内核层面的安全元素，如消息钩子、程序钩子、内核钩子、目录对象等，并提供信誉评分功能。它支持刷新、查找、导出等操作，帮助检测潜在恶意模块。

   

3. 本地沙盒工具——Sandboxie

   Sandboxie用于在隔离环境中运行病毒样本，控制其文件、网络等权限，防止对主机造成影响。工具支持以沙盒方式启动程序，并记录进程活动，但仍建议在虚拟机中测试以确保安全。

   

4. 文件监控工具——FolderMonitor鹿鸣汉化版

   该工具可全局监控文件生成，指定目录（如C盘）后记录所有新文件，便于快速定位敏感后缀文件。但作者指出其过滤功能较弱，可能被Action Scope替代，仍可用于交叉验证。

5. 邮箱分析工具——火狐老版本

   老版本火狐邮箱程序无需复杂登录验证，方便用于分析钓鱼邮件。用户可直接拖拽导出邮件文件查看内容，避免在现代邮箱中登录带来的风险。

   

6. 日志查看工具——klogg

   klogg专用于快速查看大型日志文件（如10GB级），支持关键词搜索和高亮显示，便于人工审查。它在处理Web访问日志时能有效识别可疑请求（如webshell活动）。

   

7. DNS解析外联工具——MemScanner

   当设备报告恶意域名外联但未提供IP或进程详情时，MemScanner可记录DNS解析日志，帮助定位发起外联的进程。适用于检测注入或隐藏的恶意活动。

   

8. 文件查找工具——Everything

   Everything通过快速索引全盘文件，支持按扩展名（如.exe）和时间排序，用于溯源时查找近期执行的可疑文件或残留痕迹。它特别适用于用户否认下载记录的情况。

   

此外，文章提及其他常见工具如ProcessExplorer、ProcessHacker和ProcessMonitor，但未详细展开。文末提示工具集合可通过后台回复“1230”获取。整体而言，这些工具覆盖了动态分析、沙盒隔离、文件监控、日志审查和网络溯源等场景，需配合虚拟机环境使用以保障安全。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全直通车 guowei《应急响应及溯源过程中常用的工具》