搜索可执行文件中的可打印的字符串,微软sysinternals包中有。
检测加壳器的类型,或是用来链接应用程序的编译器类型。
加壳,脱壳工具
支持列出可执行文件的动态链接库
查看PE文件信息
查看PE文件资源节
恶意代码沙箱
Norman沙箱,GFI沙箱,Anubis,Joe沙箱,ThreatExpert,BitBlaze,Comodo恶意代码分析
rundll32.exe
所有windows版本中都包含rundll32.exe程序,它提供了一个运行DLL的平台
语法:C:\rundll32.exe DLLname,Export arguments
进程监视器,它提供一种方式来监控注册表,文件系统,网络,进程和线程行为,结合并增强了FileMon和RegMon的功能
进程浏览器,用来列出所有活跃的进程,被进程载入的DLL,各种进程属性和整体系统信息,也可以用它杀死一个进程,退出用户登录,启动与激活进程
支持列出可执行文件的动态链接
注册表比较工具,可以比较两个注册表的快照,发现差异
用来查看恶意代码发出的DNS请求
被用在支持端口扫描,隧道,代理,端口转发等对内外连接上
嗅探器,截获并记录网络数据包的工具
基于linux模拟常见网络服务的免费软件,通过模拟服务(HTTP,HTTPS,FTP,IRC,DNS,SMTP等),允许你来分析未知恶意代码的网络行为