todoList：开发一款Windows下最好用的应急响应工具？

有想法的同学可以留言评论，说不定能碰撞出好的idea。

目前我从事了一年多的应急响应工作，发现Windows下没有一款很好用的应急响应工具。

市面上已有的Windows应急响应工具，无非bat脚本、应急信息收集、进程分析、内存dump、数据恢复、webshell查杀等，大多数工具功能比较单一，缺少一个集大成者的工具。

反观渗透测试的工具却种类繁多。

下面说一些我的想法。

由于m1 mac是arm架构，所以是可以在mac上直接运行ios的应用。所以m1的抓包方式也就不再局限于传统的wireshark、Charles和burp这类抓包工具，连手机上的shadrocket（小火箭） 、 httpCatcher （网球）、Thor 都能直接在mac进行抓包或者用于上网代理。

日常渗透测试工作中，经常会遇到sql时间盲注的case。大家都知道时间盲注的效率非常慢，还要受到网络延迟的影响。dnslog注入虽然能极大提升时间盲注的效率，但是在实战中受环境影响还是有很多限制。

在日常的应急响应中经常会出现Linux主机发起恶意的dnslog请求，但是找不到对应触发的进程。在用户态下没有好的监控方式，这里用到systemtap来通过内核的方式监控。

最近一次真实的应急场景，背景如下：

1. 主机安全告警存在webshell。
2. 木马文件名为php。同时/tmp目录下存在大量php临时文件。
3. Nginx访问日志中存在大量扫描器流量，但木马文件生成时间未发现对应的异常请求。
4. 该机器开通了waf，但扫描器的ip是被加白的（并非外网恶意扫描）。

由于代码审计的需要，部分系统是直接部署的服务器镜像，已经配置好的完整的环境。这时单独把源码拉取到本地再配置环境就过于复杂，直接对服务端的代码进行远程调试就会方便不少。

目前最新版的Phpstorm（2022.1.4），当前的jetbrains的大部分IDE都已经支持ssh连接服务器进行远程开发，不用再像以前一样使用sftp来同步代码。现在IDE可以实现自动实时同步，真正意义上的远程开发。因此和以往网上的配置教程略有些不同。