1.在Windows应急响应中,以下哪个工具可用于分析系统进程和端口连接?
A.Wireshark
B.Netstat
C.Nmap
D.Tcpdump
正确答案:B
答案解析:Netstat是一种可以用于显示活动网络连接和监听端口的工具。C为网络扫描工具。
2.在Windows应急响应中,以下哪个日志文件可以用于检查用户登录和退出记录?
A.Event Viewer
B.System.log
C.Security.log
D.Application.log
正确答案:C
答案解析:Security.log是一个Windows日志文件,记录了与安全相关的事件,如用户登录和退出记录。
3.在Windows应急响应中,以下哪个工具可用于捕获内存转储以进行后续分析?
A.Process Monitor
B.Task Manager
C.WinDbg
D.Resource Monitor
正确答案:C
答案解析:WinDbg是一个强大的调试工具,可用于捕获和分析内存转储。
4.在Windows应急响应中,以下哪个命令可用于查找具有特定名称的文件?
A.findstr
B.dir
C.grep
D.locate
正确答案:B 你的答案:A
解析:
答案解析:dir命令可用于列出当前目录中的文件,也可通过参数搜索具有特定名称的文件。A用途是查找指定的一个或多个文件文件中包含(或通过参数 /V来控制不包含)某些特定字符串的行,并将该行完整的信息打印出来,或者打印查询字符串所在的文件名。
5.在Windows应急响应中,以下哪个工具可用于识别正在运行的恶意进程?
A.Process Explorer
B.Registry Editor
C.Event Viewer
D.Command Prompt
正确答案:A
答案解析:Process Explorer是一个高级任务管理器,可用于识别正在运行的恶意进程。B为注册表编辑器。
6.在Windows应急响应中,以下哪个命令可用于查找修改日期在特定范围内的文件?
A.findstr
B.dir
C.grep
D.locate
正确答案:B
答案解析:dir命令可通过参数过滤并查找修改日期在特定范围内的文件。
7.在Windows应急响应中,以下哪个工具可用于恢复被删除的文件?
A.Recuva
B.Disk Cleanup
C.Task Manager
D.Command Prompt
正确答案:A 你的答案:A
解析:
答案解析:Recuva是一款数据恢复工具,可用于恢复被删除的文件。
8.在Windows应急响应中,以下哪个日志文件可以用于检查系统错误和警告?
A.System.log
B.Security.log
C.Event Viewer
D.Application.log
正确答案:C 你的答案:A
解析:
答案解析:Event Viewer是一个Windows日志文件查看器,可用于查看系统错误和警告。
9.在Windows应急响应中,以下哪个命令可用于查找包含特定字符串的文件?
A.findstr
B.dir
C.grep
D.locate
正确答案:A
答案解析:findstr命令可用于在文件中搜索包含特定字符串的行。
10.在Windows应急响应中,以下哪个工具可用于监视网络流量和数据包捕获?
A.Wireshark
B.Netstat
C.Nmap
D.Tcpdump
正确答案:A
答案解析:Wireshark是一个强大的网络分析工具,可用于监视网络流量和捕获数据包。
11.在Windows应急响应中,以下哪个命令可用于查找正在运行的进程?
A.tasklist
C.top
D.processlist
正确答案:A
答案解析:tasklist命令可用于列出正在运行的进程。
12.在Windows应急响应中,以下哪个工具可用于查找注册表中的恶意条目?
A.Registry Editor
B.Process Explorer
C.Event Viewer
D.Command Prompt
正确答案:A
答案解析:Registry Editor是一个用于查看和编辑Windows注册表的工具。
13.在Windows应急响应中,以下哪个命令可用于查找系统中的漏洞和安全问题?
A.msconfig
B.regedit
C.dxdiag
D.mbsa
正确答案:D
答案解析:mbsa (Microsoft Baseline Security Analyzer) 是一个用于扫描系统中的漏洞和安全问题的工具。
14.在Windows应急响应中,以下哪个工具可用于检查系统启动项和自启动程序?
A.msconfig
B.regedit
C.dxdiag
D.mbsa
正确答案:A
答案解析:msconfig是一个系统配置工具,可用于检查系统启动项和自启动程序。C 为诊断工具。
15.在Windows应急响应中,以下哪个命令可用于查找最近访问过的文件?
A.dir
B.findstr
C.grep
D.recent
正确答案:D
答案解析:在电脑桌面按下【win+r】组合键,弹出运行窗口,输入"recent"回车。这个指令是"最近"的意思,打开后可以看到最近一段时间打开的东西,包括文件、照片、视频等。
常见工具识别集锦---Windows应急响应工具
一、综合分析
1.PowerTool
2.PCHunter
3.sysinspector
4.sysinternals Suite
二、文件查找&检测
1.Everything
2.findstr
3.grepWin
4.TextCrawer
5.Index.dat Analyzer
6.winhex
7.RegistryWorkshop
8.DiskGenius
9.passrecenc
三、日志分析
1.eventtvwr
2.Event Log Explorer
3.Fulleventlogview
四、进程分析
1.Autoruns
2.ProcessExplorer(Procexp)
3.Winprefetchview
4.Wsyscheck
5.ProcessHacker
五、进程分析
1.netstst -ano
2.cprots、Tcpview
3.IPOP4.1
4.Nmap
六、样本分析
1.Process monitor
2.Netcat
3.Malware Defender
4.MyMonitor
5.DllInjector
6.RegShot
7.Fodler Monitor
8.ResHacker
七、杀毒扫描
1.KVRT
八、流量分析
1.Wireshark
-
莱来网络分析工具
-
DWirelessNetWatcher
4.ipradar
5.Burpsuite
6.Fidder
7.nbscan
8.Smsniff
9.apateDNS
10.MiniSniffer
九、其他
- Shadow Defender
2.SysTracer
3.COMODO Firewall