Hawkeye 一款Windows综合应急响应工具

admin 2025年1月10日22:02:22评论7 views字数 764阅读2分32秒阅读模式

Hawkeye 一款Windows综合应急响应工具

文章来源以下公众号,喜欢的师傅点点关注!

来吧!展示!

Hawkeye 一款Windows综合应急响应工具

一、【工具介绍】

简介

Hawkeye(鹰眼)一款基于golang开发的安全工具,旨在帮助安全工程师上机排查时能够快速的定位问题,提供排查思路。

功能

外连分析

当发现主机存在恶意外连时,并且知道外连地址,能够快速的定位外连的进程,以及进程的连接信息。同时根据进程定位到对应的文件以及常见维持项。该功能适用于常见的外连场景,如挖矿,木马,后门等。 如下图所示,以todesk为例,通过外连分析功能,能够快速的定位到todesk.exe进程,以及进程的连接信息。

Hawkeye 一款Windows综合应急响应工具

Beacon扫描

适用于主机存在C2外连场景,该功能能够快速的扫描主机上的beacon信息,包括beacon的进程信息,beacon的连接信息等。

Hawkeye 一款Windows综合应急响应工具

主机信息

该功能能够查看常见的主机信息,具体如下:

  • 用户信息 能够查看当前主机用户,以及主机是否存在隐藏账号
Hawkeye 一款Windows综合应急响应工具
  • 计划任务 查看当前主机的计划任务以及触发时间
Hawkeye 一款Windows综合应急响应工具
  • 服务信息
Hawkeye 一款Windows综合应急响应工具
  • 启动项信息
Hawkeye 一款Windows综合应急响应工具

日志分析

  • 登录成功日志 该功能会获取当前主机所有登录成功的日志,包括用户名,登录时间,登录IP等信息。
Hawkeye 一款Windows综合应急响应工具
  • 登录失败日志 该功能会获取当前主机所有登录失败的日志,包括用户名,登录时间,登录IP等信息。
Hawkeye 一款Windows综合应急响应工具
  • 服务创建日志 该功能会获取当前主机所有服务创建的日志,包括服务名,服务路径等信息。
Hawkeye 一款Windows综合应急响应工具
  • 用户创建日志 该功能会获取当前主机所有用户创建的日志,包括用户名,用户路径等信息。方便安全工程师查看是否存在可以账号的创建。
Hawkeye 一款Windows综合应急响应工具

Todo

1、yara进程、文件扫描 2、新增其他日志项,如计划任务、powershell、RDP等

二、【工具获取】

https://github.com/mir1ce/Hawkeye
 
 

原文始发于微信公众号(网络安全007):【工具推荐】Hawkeye 一款Windows综合应急响应工具

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月10日22:02:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Hawkeye 一款Windows综合应急响应工具https://cn-sec.com/archives/3615579.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息