0x01：D 盾 —— 工具简介

D 盾防火墙是一款专为 IIS 环境设计的服务器端主动防御型防火墙，通过内外结合的防护机制有效抵御入侵威胁，保障网站与服务器安全。同时，D 盾不仅限于服务器防护，还提供覆盖终端安全的综合解决方案，集成病毒查杀、实时监控、防火墙及反恶意软件等核心功能，形成多层次防御体系。

基于模块化架构与多环境适配能力，D 盾实现了终端防护与服务器安全的深度融合，成为兼顾高效性与灵活性的优选工具。其设计尤其注重高安全性场景需求，既能精准拦截针对服务器的复杂攻击，又能为终端用户提供轻量化的一体化防护，是网站运维和企业级数据保护的可靠屏障。

0x02：D 盾 —— 工具安装

D 盾 — 工具获取

本地资源：Windows_Ddun_2.1.8_beta.zip

在线资源：D盾防火墙

D 盾的安装十分简单，首先从笔者上面提供的链接中下载并解压工具至你想安装的目录中：

然后双击解压目录中的 “D_Safe_Manage.exe” 文件，即可运行，其运行后的界面如下：

如果你当前的机器是 IIS 网站环境，且你想要用 D 盾对你的网站进行一个防护。那么你就需要点击初始页面中的 “安装【D 盾】保护”，进行安装（这里需要管理员权限）。

如果你的站点不是 IIS 网站环境，或者你不准备用 D 盾做防火墙，那么你就可以不用安装 D 盾，单纯的把它当作一个杀毒软件即可，笔者后面介绍的功能也主要是围绕查杀来讲的。

0x03：D 盾 —— 工具使用

0x0301：D 盾 · 应急响应 — WebShell 查杀

当我们的 Windows Web 服务器疑似被入侵后，可以先安装 D 盾，安装完成后，在 D 盾的 “主页” 中选择 “自定义扫描”：

然后它会自动跳转到查杀界面，此时点击 “选择目录”，选择你的 Web 根目录，它就会自动开始查杀：

0x0302：D 盾 · 应急响应 — 克隆 & 隐藏账户排查

D 盾另外一个特别常用的功能就是 “克隆账号检测”，关于渗透中的克隆与隐藏账号的创建可以参考下面这篇文章，里面介绍了攻击者创建克隆与影子账号的全流程：

参考资料 🚀：Windows 权限维持 —— 影子账户后门 - 克隆账户

D 盾的 “克隆账号检测” 在 “工具” 栏目中，点击 “克隆账号检测”，它就会列出当前系统中的所有账号，其中也包括攻击者的克隆 & 隐藏账号：

右击上面那个账号就会出现删除选项，排查起来还是十分 Easy 的。

0x0303：D 盾 · 实时监控 — 文件监控

笔者还有一个比较常用的就是文件监控模块了，配置好你想监控的目录，然后点击 “开始监控” D 盾就会实时监控你这个目录下文件的变化，如果局域网打攻防，就可以看别人有没有传 WebShell 了：

0x04：D 盾 —— 参考资料

实战参考 🚀：蓝队应急响应靶场 —— 知攻善防实验室 · 靶场笔记合集

D盾：网站安全防护与查杀工具详解-CSDN博客文章浏览阅读1.1w次，点赞6次，收藏50次。使用方法：如果是IIS网站环境，解压到相应的目录站点，点击【安装[D盾]保护】，如果不是IIS环境，可以当作web查杀软件使用。支持VBScript.Encode代码解密、base64代码解密、%**编码解密。检测是否有账号克隆，判断主机是否被入侵成功，如有克隆账户，应及时删除。安装保护后是绿色的图标，扫描全部网站，可以扫描网站也可以扫描目录。通过查看进程判断是否中病毒，如有可疑进程应当结束结束该进程。其他功能，可以自行点点看看。可查看是否释放可疑的端口。希望这篇文章能帮助到您!_d盾https://blog.csdn.net/weixin_51325893/article/details/127075158