1. 网络工具
Wireshark(抓包分析)、tcpdump(命令行抓包)、nmap(端口扫描)。
2. 系统工具
Process Explorer(进程分析)、Regedit(注册表编辑)、WMIC(Windows管理)。
3. 日志工具
LogParser(日志分析)、ELK(日志平台)、Splunk(安全分析)。
1. 内存取证
Volatility(内存分析)、Rekall(内存取证)。
2. 恶意代码分析
IDA Pro(逆向分析)、Ghidra(开源逆向)、Cuckoo Sandbox(沙箱分析)。
3. 威胁情报
VirusTotal(文件检测)、微步在线(威胁情报)、Shodan(设备搜索)。
将工具打包部署到便携设备(如U盘、移动硬盘),确保随时可用。
1. 工具需定期更新;2. 取证时注意保护现场;3. 遵守法律法规要求。