网站: https://www.novirusthanks.org/
Anti-AutoExec:阻止自动运行U盘上的 autorun.inf 以防病毒。
Anti-Rootkit:复杂的底层分析系统,阻止恶意软件、隐藏进程、代码钩子和rootkit。
AutoRun.Inf Remover:删除所有连接设备的根目录中的Autorun.inf以防病毒。
Connections Viewer:查看和管理内部的 UDP 和 TCP 连接。
ConnectMonSvc:记录出站TCP和UDP链接,包括进程名称、ID,地址、端口号等。
Deletion Extension Monitor:在监视和记录在系统中删除的文件,可自定义扩展名。
Desktop Discovery:按名称枚举和列出所有窗口站及其相应的桌面。近年来,Hesperbot等恶意软件利用了诸如替代桌面创建之类的攻击手段来进行隐身恶意攻击,该软件列出了了Windows不可见的UI元素。
Desktop Hunter:桌面截图工具,可以全屏或区域捕获。
DLL UnInjector:列出了所有正在运行进程加载的 DLL。
DLL UnInjector:卸载所选进程加载的的 DLL。对于删除恶意软件 DLL 或可疑 DLL 非常有用。
Dos Device Inspector:将 Dos 设备符号链接映射到其本机 NT 路径。Windows 对象管理器将这些用于物理硬件,如 CDRom、USB 设备、硬盘驱动器等。
Drive Formatter:格式化工具,支持多种文件系统看,可作为磁盘擦除工具,使其无法恢复数据。
Drive Revealer:检索有关操作系统底层硬件的大量有用信息。
Driver Radar Pro:不仅可以帮助你通过安全的白名单方法允许\拒绝加载内核模式驱动程序,还允许你安全地将要加载的驱动程序文件复制到用户指定的位置以进行进一步分析。可允许或阻止在系统中加载哪些内核模式驱动程序。
Easy Email Extractor:从文件,文件夹和URL中提取电子邮件地址。
IP Extractor:从文件,文件夹,URL和文本片段中提取IP地址。
Event Monitor Service:实时监视重要的系统事件以帮助检测恶意软件活动。监视文件创建、文件删除、将 PE 文件拖放到磁盘、创建的进程、加载的模块、加载的驱动程序和注册表更改。每个事件都记录到一个文件中,保存所有重要的详细信息,例如日期/时间,进程名称,父进程,文件名等等。
Fast Folder Eraser Pro:超快速删除包含大量文件的文件夹而不会降低系统性能并保持PC的可用性。
File Extension Monitor:监视和记录在系统中创建的文件,可筛选文件扩展名。
File Governor:解锁正在使用的文件和文件夹的最佳工具。
File Shredder Tool:从硬盘驱动器中永久删除文件,没有人可以使用文件恢复软件将其恢复。
File System Protector:使用内核模式驱动程序完全锁定文件或文件夹,并拒绝对文件的写入访问(允许只读)。
Handle Tracer:用于列出、搜索和操作 Microsoft Windows 操作系统的 32 位 (x86) 和 64 位 (x64) 版本上的打开句柄而无需加载任何内核模式驱动程序。Handle Tracer 可以用作开发人员的调试和性能分析工具来分析其应用程序的对象资源使用情况。
Hidden Process Finder:识别系统中的隐藏进程(rootkit)。许多恶意软件会隐藏其恶意进程以蒙蔽它们在系统中的存在,使用传统的进程管理器(如任务管理器)无法找到它们。
Hijack Hunter:彻底扫描计算机显示全面的数据,用于检测可疑的系统行为,包括运行进程,注册表启动项,安装的驱动程序,Windows劫持,浏览器帮助程序对象等。
Kernel Mode Drivers Manager:列出所有已加载的内核模式驱动程序,并提供驱动程序加载顺序,驱动程序名称,加载地址,模块大小,文件发布者,文件描述等信息。还可以创建一键式保存日志,使系统快照变得简单。
Kernel-Mode Driver Loader:调试在加载或卸载内核模式驱动程序时发生的错误。可以将此小工具发送给无法加载或卸载其他安全软件的内核模式驱动程序的用户,以查找错误代码和导致问题的错误消息,这对软件开发人员和 beta 测试人员来说非常有用。
Live Kernel Memory Dump:一个高级 Windows 控制台实用程序,允许您转储"实时"内核内存,而无需强制关闭系统(就像发布错误检查一样)。不需要活动的内核调试会话,而这通常是在调试器/调试对象关系中进行的。由于此实用程序中使用的底层技术,所有内核模式内存区域都以稳定的方式转储,Windows 本身使用该技术生成故障转储报告,因此即使在实时系统环境中捕获内存,稳定性也不会受到损害。
MAC Address Changer:更改(欺骗)网络适配器的媒体访问控制 (MAC) 地址。
Malware Remover:检测和删除安装在您的计算机中的特洛伊木马,间谍软件,流氓软件,广告软件和其他威胁。
MD5 Checksum Tool:生成文件或字符串的文件校验和(MD5 / SHA哈希),检查可执行文件(.exe)文件是否合法。支持的文件和字符串哈希算法为 MD5、SHA1、SHA256、SHA384 和 SHA512。
NetShareMon:枚举主机上的共享网络资源列表,包括共享打印队列、隐藏共享、特殊或临时共享文件夹以及通过网络的永久用户共享文件夹。NetShareMon 对于系统管理员诊断共享网络问题或收集主机数据以进行分析非常有用。
NPE File Analyzer:允许用户查看和编辑 32 位和 64 位可移植可执行文件 (PE),例如 。执行 .DLL 和 .SYS 文件。此工具提供了用于检查未知二进制文件的功能,您可以分析段落,资源,导入和导出表,重定位,TlsTable等等,它有一个内置的进程管理器来分析正在运行的进程和加载的模块。
PE Capture:捕获系统中加载的 PE 文件,如可执行文件、DLL 和驱动程序。在"拦截"文件夹上捕获加载的PE文件(重命名为其文件哈希)的副本以进行进一步分析,此外它还记录执行事件以轻松找到以前捕获的特定PE文件。本软件就像一把瑞士军刀,通过捕获在测试环境中执行的PE文件来加快恶意软件分析的速度。另请尝试下一个软件,这是没有GUI界面的纯服务应用程序。
PE Capture Service:上一个软件的纯服务版本。
PE Dropper Monitor:监视和记录可执行文件(PE 文件),这些文件被"丢弃"到硬盘上。当 PE 文件放入系统时,程序会记录以下详细信息:日期/时间、负责删除 PE 文件的进程文件名、丢弃文件的文件名以及丢弃的文件类型(EXE、SYS、DLL 等)。
PE Export Viewer:检查可移植可执行文件的导入和导出功能(例如:.EXE, .DLL, .SYS)。提供了函数名及其主机模块名以及其他一些有用的选项,例如解码损坏或修饰的函数名(MSVC ++和Borland编译器执行此操作)以及识别转发函数(仅跳转到或调用另一个模块中的另一个API的函数)。PE 文件的导入和导出信息可以导出为日志文件,以便于查看和搜索。
Process Lister:增强版的任务管理器,允许最终用户查看其系统内运行的所有进程并可以操作它们。可以使用许多选项,例如终止,内存转储,加载模块的枚举,句柄表遍历等。有关进程的多列信息也可用,这是任务管理器未提供的选项。
Process Logger Service:监视系统中执行的进程并将事件保存到自定义日志文件中。该程序保存所有与进程相关的信息,例如进程名称、进程 ID、父进程、文件公司名称、文件描述、命令行字符串等,该程序还会记录有关已终止进程的信息。
Process Permit:这是一个“框架”,使第三方开发者有能力在基于Windows NT的操作系统上创建允许或拒绝进程创建的规则。该框架可以集成以适应本地和远程规则源,例如:C:\Program Files\Product Name\Rules,DB或远程URL,例如https://www.RemoteHost.com/Rules.php.这为管理进程创建的开发人员提供了对系统范围内每个流程执行的完整粒度控制。我们的旗舰产品EXE Radar Pro(ERP)中也使用了类似的框架,经过多年的开发和广泛的公共使用,该框架得到了测试和验证。Process Permit将收集大量有用的进程创建信息,如进程文件名、进程id、MD5哈希、SHA1哈希、文件描述、公司签名名称(如果已签名)、父进程名称、父进程id等,并以整洁的组织结构公开这些“原始”数据,供任何应用程序控制。
Raw File Copier Pro:可以轻松地复制文件同时显示进度百分比,以及复制通常无法通过Windows操作系统中的传统方式复制的文件。由于内置Windows操作系统保护而无法复制的文件的一个例子是包含用户密码哈希的SAM文件。
Registry DeleteEx:某些恶意软件可能会通过更改注册表权限或使用 API 挂钩技术来锁定/保护注册表项,本软件通过内核模式驱动程序删除锁定的注册表项和锁定的注册表值。有了这个小工具,您可以成功删除几乎任何无法使用注册表编辑器或通过传统方法删除的注册表项和值。请谨慎使用此工具,如果您删除系统注册表项,您的PC将无法启动。
Registry Guard:使用内核模式驱动程序来防止任何进程或仅特定进程写入\读取\删除自定义注册表项\值。例如,您可以阻止任何进程写入注册表自动启动位置,或防止进程劫持 Internet Explorer 注册表设置等等。使用本软件可以轻松保护自定义Windows注册表项和值免受未经授权的修改或删除。
Registry Guard Service:上一个软件的纯服务版本。
Remote Process Blocker:一个框架,允许高级 Windows 用户根据服务器端规则智能地阻止生成进程的执行。 框架拦截进程创建并将等待响应(执行许可决定)。 模式匹配、二进制签名检测、行为启发式等可能是决定因素,可以在其中以自定义方式实现。 一旦给出允许/阻止响应,框架将允许程序运行或阻止它在实时系统中执行。
Ring3 API Hook Scanner:帮助检测进程中某些类型的用户模式钩子,例如内联,IAT和EAT钩子。不需要内核模式驱动程序,并且提供了有关检测到的 API 挂钩的详细信息,包括挂钩类型和进程名称。
Send To Manager:可帮助用户管理Windows“发送到”菜单中的快捷方式(.LNK)。你可以查看“发送到”文件夹中已安装的快捷方式列表,删除不需要的快捷方式(不包括系统shurtcuts),显示快捷方式(.LNK)文件的文件属性,并轻松添加新的快捷方式,支持文件和文件夹的快捷方式。
Shutdown Logger :仅记录日期和时间的纯服务应用程序,包括登录用户和电脑关闭时的正常运行时间,了解你离开时电脑的开机时间。
Signer Extractor:提取对可移植可执行文件 (PE) 文件(例如.EXE、DLL、SYS)进行数字签名的签名者(通常是供应商)。在了解系统中(或特定文件夹或分区)中存在的所有签名者,并构建了"受信任的供应商"的完整列表的情况下,就可以在第三方安全软件或特定安全策略中使用/导入了。
Smart File Delete:把文件标记为删除,然后在下次重新启动时将其删除,这可以删除某些无法删除的顽固文件。在某些情况下,你可以通过终止使用该特定文件的程序来删除锁定的文件,但这并非总是安全的,并且会产生问题。使用此程序你可以在下次重新启动时安全地删除文件,包括由于其他程序正在使用或锁定而无法删除的文件。
Smart File Finder:适用于任何类型的用户,包括安全研究人员和取证分析师,程序通过不同的搜索条件查找文件,可以指定文件名、MD5 哈希、MD4 哈希、SHA1 哈希、SHA256 哈希、SHA512 哈希、Tiger 192 哈希、DC++ TTH 哈希、文件发布者名称或文件描述来搜索文件,最重要的是,你还可以使用通配符来匹配这些搜索字段。
Smart Object Blocker:提供了一种有效的方法防止恶意软件和 rootkit 感染而无需病毒签名或更新,您可以创建自己的规则来阻止或允许对象。 它以内核模式监视系统中加载的所有进程、dll 和驱动程序,提供最佳的防弹保护。你可以编写规则来允许(或阻止)进程、dll 和驱动程序,您可以使用通配符和正则表达式,并且规则会实时更新(无需重新启动应用程序)。
Smart PC Locker Pro:这是一款轻巧而强大的应用程序,旨在锁定你的计算机及其所有功能,以便没有人可以访问您的个人数据,您现在可以安全地离开计算机。电脑使用密码锁定,因此只有知道正确密码的用户才能解锁电脑。该程序还能够将PC锁定在安全模式(带网络,无网络等)。
Square Privacy Cleaner Pro:删除计算机上所有不需要的历史记录数据。只需单击一下鼠标就可以擦除Windows痕迹,包括最近打开的文档, prefetch,剪贴板缓存,MRU列表,临时文件夹,垃圾文件以及互联网痕迹。
SSDT View:列出系统服务描述符表 (SSDT) 最重要的数据,包括服务索引、服务地址、服务名称以及与服务地址对应的模块名称。您可以将报告导出到文件以进行进一步分
Stream Detector:可查找NTFS驱动器上所有隐藏的备用数据流(ADS)。找到备用数据流后,可以提取这些流、删除文件、删除不需要的流或将找到的流列表导出到日志文件。该程序还可以列出多个隐藏流,并且可以正确检测实际文件夹\目录上的备用数据流。
Strong Passwd Generator:一个强大的密码创建实用程序,任务是创建强大、难以破解的密码。该程序有几个灵活的选项,例如指定所创建密码的长度、密码数量(可以多次生成)以及密码创建语义,以指示哪些字符应被包括或排除。此类包含选项允许使用小写、大写、数字和特殊字符。可选的排除标准包括排除不明确(不清楚或难以阅读)的字符,甚至是外观相似的字符(o、O、0)等。通过这种方式你可以微调密码创建过程,以满足当今应用程序和网站登录页面的大多数密码要求。
SWF Blocker:阻止Shockwave flash文件的打开。此实用程序使用白名单方法自动阻止任何不在白名单中的FLASH对象,这对于需要阻止学生在上课时间玩 Flash 的游戏的学校中的系统管理员非常有用。
SysHardener:强化Windows设置以减轻网络安全威胁。此工具可以限制Windows的功能并保护易受攻击的应用程序(即Office和Adobe Reader)。你可以取消 VBS、VBE、JS、JSE、WSH 文件类型关联,在 Adobe Reader 上禁用 JavaScript,在 Office 上禁用 Macros、OLE 和 ActiveX,禁用未使用的 Windows 服务,阻止通过 Windows 防火墙进行特定程序的出站连接等等。
SysTray Refresh:程序被强制终止时将无法清理其任何资源,因此死图标会留在系统托盘中,直到您将鼠标悬停在它们上面。资源管理器不会自动删除任何死图标。本程序将保持系统托盘区域清洁。
TCP Port Interrogator:一个用户友好的 GUI 网络实用程序,旨在帮助你确定一系列 TCP 端口是否已打开或是否允许在远程目标上进行持久连接。输入要扫描的目标 IP 地址后,您可以选择指定要扫描的单个端口(逗号分隔)和/或输入要扫描的端口范围(带连字符)。示例:要扫描端口 80、1080 和 400 到 800,您需要按任意顺序输入"80,1080,400-800",优先级对软件无关紧要,只会扫描这些端口。
Threat Killer:可编写脚本的恶意软件删除程序,可帮助你通过自定义命令(如终止进程、删除文件、删除注册表项、禁用服务、卸载驱动程序、卸载 DLL 等)删除恶意软件。适用于 PC 技术人员、系统管理员和 PC 维修店。
Unloaded Module Viewer:旨在枚举和列出在进程生命周期中动态卸载的可移植可执行 (PE) 模块(.DLL、.CPL、.EXE 等)。 当一个模块被 Windows PE 加载器(使用诸如 FreeLibrary/LdrUnloadDll 之类的 API)卸载时,某些模块信息被 NTDLL 作为快照缓存在相应的进程地址空间内,这在调查时可能很有用。 这个内部和私有缓存由最近 64 个模块组成unloaded 并提供相关信息,例如模块名称、加载地址、模块大小、时间戳和校验和。
UPX Easy GUI:这是流行的 UPX EXE Compressor 的图形用户界面。该界面非常简单且用户友好,可以轻松访问大多数记录的UPX参数而无需记住命令行。本软件还可以添加到Windows资源管理器上下文菜单中,其中包含"Compress with UPX Easy GUI"和"Decompress with UPX Easy GUI"选项以快速压缩/解压缩可执行文件。
USB Capture:USB Capture是一个服务应用程序,它在USB设备插入后立即将USB中的所有数据(文件和文件夹)捕获\复制到本地文件夹,并保持相同的文件夹结构。你可以排除特定的USB设备(按设备ID),这样它们就不会被复制到本地文件夹。在本地PC上安装每个USB设备的副本非常有用,如果入侵者在PC上插入USB,该程序将从其USB设备捕获所有文件。
Website Blocker:基于黑白名单管理管理被允许访问和禁止访问的的网站。支持通配符,这对阻止特定关键字非常有用。还有其他有用的选项,例如允许登录的网站(间谍模式),阻止安全连接HTTPS,还可以阻止所有入站和出站流量。
Win Update Fixer:修复在手动检查更新或安装特定Windows更新之前发生的常见Windows更新错误(如0x80070422)。如果Windows Update不工作,并且在检查更新时不断出现Windows Update错误,则只需打开此工具,单击“修复Windows Update”按钮,然后在完成后重新启动电脑。此应用程序将尝试恢复Windows Update正常工作所需的重要Windows设置。也可以禁止更新。
WOW64 SysCall Monitor:这是一个小工具,允许你生成一个进程并监视该进程所做的所有系统调用,包括所有来自系统服务描述符表(SSDT)的Nt*前缀的系统服务API,以及系统服务描述符表影子(GUI/图形服务)。你可以选择SSDT服务名称来监控,也可以选择在工具内部进行阻断,当一个特定的服务被调用时(在通过syscall(AMD64)或INT 0x2E/SYSENTER(Intel x86)从用户模式过渡到内核之前),被调用的API名称将与时间/日期以及调用进程和线程ID一起被记录。
WPMSvc:仅运行于服务,用于监视系统中写入其他进程虚拟地址空间的进程。这对于恶意软件分析师很有用。它没有GUI,每次启动电脑时都会运行,而且只使用几MB的内存。
WriteProcessMemory Monitor:专门用于监视系统中写入其他进程虚拟地址空间的进程。恶意软件经常使用这种技术,以便将有效负载存根写入外部进程,从而钩住API,加载恶意软件DLL等等。这是GUI版本,服务版本见上一条。
YaGuard:此实验项目允许您使用自定义 YARA 签名实时扫描新进程、DLL 和内核模式驱动程序。如果进程、dll 或驱动程序与 YARA 规则匹配,则会阻止该进程、dll 或驱动程序加载到系统中,从而防止潜在的恶意软件感染。不建议初学者使用此工具。
Zeus Trojan Remover:Zeus特洛伊木马清除器,检测并删除非常危险的ZeuS银行木马的所有已知变体,也称为ZBot或Wsnpoem,被网络犯罪分子广泛用于窃取银行信息,信用卡详细信息,PayPal登录凭据以及从各种流行站点收集用户信息。
