Windows应急响应工具HawkEye更新!

admin 2025年1月26日16:29:43评论5 views字数 934阅读3分6秒阅读模式

致谢

自从HawkEye上线以来,该项目目前已经收获star 74星,感谢各位捧场,并star该项目,GitHub地址:https://github.com/mir1ce/Hawkeye

Windows应急响应工具HawkEye更新!

同时微信公众号后台关于该项目的文章突破1.5w浏览量,感谢各位捧场,后续也会持续优化该项目

Windows应急响应工具HawkEye更新!

同时感谢@骁 github地址:https://github.com/Fheidt12,提供的思路,新版本采用调用Windows原生api的方式获取日志,放弃开源库,新版本文件更小。更方便远程应急的小伙伴上传应急响应工具,能够更快的展开分析工作。

Windows应急响应工具HawkEye更新!

HawkEye新版本

新增签名识别选项

针对常见Windows维权选项,添加了签名识别,方便安全工程师快速识别存在异常的文件信息,如计划任务,服务信息

Windows应急响应工具HawkEye更新!
Windows应急响应工具HawkEye更新!

新增RDP登录日志的获取

做过应急响应的小伙伴应该知道,在面临勒索病毒,或者是内网横向攻击时,攻击者可能使用RDP展开横向攻击,那么本次版本新增了RDP登录日志,和RDP连接日志(也就是我内网横向了谁)

Windows应急响应工具HawkEye更新!
Windows应急响应工具HawkEye更新!

新增 SqlServer日志

在安全分析过程中,攻击者可能通过sqlserver弱口令结合MDUT等数据库利用工具,或者是SQL注入漏洞,实现命令执行的操作,那么我们就需要重点关注sqlsever数据库的登录日志,以及show advance options的操作日志,本次版本更新,新增该场景,方便工程师快速识别相关风险,并且,针对xp_cmdshell的操作日志,进行标注,方便新手朋友快速查看存在的问题

Windows应急响应工具HawkEye更新!

新增powershell日志

攻击者利用漏洞后可能会使用powershell上线cs或者是展开更深层次的利用,该版本新增powershell日志,方便安全工程师进行分析

Windows应急响应工具HawkEye更新!

更多

更多安全咨询以及应急响应相关问题,欢迎关注微信公众号:事件响应回忆录

Windows应急响应工具HawkEye更新!

或者加入微信交流群,进行交流,如果邀请二维码过期,可关注微信公众号,后台联系管理员,届时会提供最新邀请码信息。

Windows应急响应工具HawkEye更新!

github

如果喜欢该项目,或者觉得有用,可以点个小星星,后面会持续更新

github:https://github.com/mir1ce/Hawkeye

原文始发于微信公众号(事件响应回忆录):安全工程师的好帮手,Windows应急响应工具HawkEye更新!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月26日16:29:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows应急响应工具HawkEye更新!http://cn-sec.com/archives/3678027.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息