Sysinternals提供了许多小型Windows实用程序,对于低级别的Windows黑客攻击来说非常有用。 一些是免费的和/或包括源代码,而其他是专有的。 调查受访者最喜欢:
ProcessExplorer 用于查看任何进程打开的文件和目录(如UNIX上的lsof)。
Pstools 用于管理(执行,暂停,杀死,细化)本地和远程进程。
Autoruns 用于发现在系统启动或登录期间可执行文件设置为自动运行。
RootkitRevealer 用于检测标明可能存在用户模式或内核模式rootkit的注册表和文件系统API差异。
TCPView 用于查看每个进程使用的TCP和UDP流量端点(如UNIX上的Netstat)。
许多Sysinternals工具最初都附带源代码,甚至还有Linux版本。 Microsoft于2006年7月收购了Sysinternals,承诺“客户将能够继续建立Sysinternals的高级实用程序,技术信息和源代码”。 不到四个月后,微软删除了大部分的源代码。
文件和目录完整性检查器。 Tripwire是一种工具,可帮助系统管理员和用户监视指定的一组文件进行任何更改。 Tripwire可以通常(例如每日)与系统文件一起使用,可以通知系统管理员已损坏或被篡改的文件,因此可以及时采取损害控制措施。 习惯上是一种开源的工具,Tripwire公司现在专注于他们的商业企业配置控制产品。 SourceForge http://sourceforge.net/projects/tripwire/ 上仍然可以找到一个开源的Linux版本。 UNIX用户可能还想考虑AIDE,它被设计为免费的Tripwire替换品。 或者您可能希望调查Radmind http://www.radmind.org/ ,rkhunter http://rkhunter.sourceforge.net/ 或chkrootkit http://www.chkrootkit.org/ 。 Windows用户可能喜欢Sysinternals http://sectools.org/tool/sysinternals/ 的RootkitRevealer http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx 。
DumpSec是Microsoft Windows NT / XP / 200x的安全审核程序。 它以简洁易读的格式转储文件系统,注册表,打印机和共享的权限(DACLs)和审核设置(SACLs),以便系统安全性中的漏洞显而易见。 DumpSec还会转储用户,组和回复信息
HijackThis检查计算机的浏览器和操作系统设置,以生成其当前状态的日志文件。 它可以有选择地删除不需要的设置和文件 其主要重点是网页浏览器劫持。 最初它是由Merijn Bellekom编写的免费软件,但现在由 Trend Micro发布。
AIDE(高级入侵检测环境)是一个rootkit检测器,Tripwire免费替代品。 它使重要系统文件的加密散列并将其存储在数据库中。 然后,它可以报告哪些文件已更改。