工欲善其事,必先利其器。

这里收录了一些我个人常用并推荐的工具。

# 动态分析

# 软件调试

# x64dbg

面向未来的 Windows R3 调试器,开源,支持 x86/x64。

# WinDbg

微软家的东西,不仅能够调试应用,还能调试内核,学习内核必备的工具。

  • 推荐辅助工具
    • VirtualKD-Redux

# 内存搜索

# Cheat Engine

大名鼎鼎的 CE,开源的内存修改工具,但不仅仅只能用于修改内存,其中依赖于调试机制的 "找出是什么访问 / 修改了这个地址" 等功能也非常好用。

# 进程监控

# Process Monitor

用于 Windows 的高级监控工具,能够实时监控进程的行为,如文件、注册表、网络等动作,对分析工作有很大的帮助。

# 火绒剑

火绒剑的系统监控也意外的好用,比起 Process Monitor,我觉得火绒剑的使用体验更加轻快。

# 网络分析

# WireShark

开源的网络分析工具,针对网卡抓包,能用于分析学习更底层的协议 (传输层,网络层、数据链路层)。

# Fiddler

免费的 http/https 抓包工具,基于系统代理工作,https 抓包原理是中间人攻击,为操作系统安装 Fiddler 生成的证书,就能截获信任操作系统中安装的证书的应用程序的 https 流量。

# Proxifier

强制代理工具,有些应用并不会使用系统代理设置指定的代理,因此 Fiddler 无法截获这类应用的 http/https 流量,这个时候 Proxifier 是很好的搭档。

# 静态分析

# 反汇编

# IDA

我觉得 "IDA" 这个名字,就是对 "静态分析" 最有力的诠释了,世界顶级的交互式反汇编工具,功能及其强大,所以使用也很复杂。

  • 推荐书籍

    • 《IDA Pro 权威指南 (第 2 版)》

  • 推荐插件

    • ret-sync

# PE 分析

# CFF Explorer VIII

很优秀的 PE 分析工具,用过之后就基本上没有再尝试其他的 PE 工具了。

# 十六进制编辑器

# HxD

个人体验很好的免费十六进制编辑器,轻便。