『工具使用』应急响应辅助排查工具

日期：2025年03月18日

作者：pbfochk

介绍：整理几款应急响应中面对入侵行为经常用到的辅助排查工具。

0x00 前言

在网络安全防御体系中，应急响应是至关重要的一环。当攻击者突破防线、系统出现异常或安全威胁发生时，如何快速、精准地识别、分析并处置安全事件，成为安全团队面临的核心挑战。

然而，传统的应急响应流程往往依赖人工处理，存在以下痛点：

面对这些挑战，应急响应自动化工具变成不可缺少的一环，减少人为操作，提高事件响应效率，使安全团队能够专注于复杂分析与决策。

0x01 LinuxCheck - Linux系统全面检测

1.1 功能简介 

Linux应急处置/信息搜集/漏洞检测工具，支持基础配置/网络流量/任务计划/环境变量/用户信息/Services/bash/恶意文件/内核Rootkit/SSH/Webshell/挖矿文件/挖矿进程/供应链/服务器风险等13类70+项检查。

1.2 项目地址

https://github.com/al0ne/LinuxCheck

1.3 使用方法

① 第一种方式：通过git clone 安装。

git clone https://github.com/al0ne/LinuxCheck.gitchmod u+x LinuxCheck.sh./LinuxCheck.sh

bash -c "$(curl -sSL https://raw.githubusercontent.com/al0ne/LinuxCheck/master/LinuxCheck.sh)"

如果是批量机器下发，脚本执行后会自动提交到某一个url下，将脚本里面的webhook_url 改成你自己的地址。

# 报告上报的地址webhook_url='http://localhost:5000/upload'upload_report() {# 上传到指定接口if [[ -n $webhook_url]]; then    curl -X POST -F "file=@$filename" "$webhook_url"  fi}

在你的服务器上用Flask起一个服务，接收服务器上报的Markdown格式的报告。

from flask import Flask, requestapp = Flask(__name__)@app.route('/upload', methods=['POST'])def upload_file():    if'file'not in request.files:        return"No file part", 400    file = request.files['file']    if file.filename == '':        return"No selected file", 400    if file:        filename = file.filename        file.save(filename)        return"File successfully uploaded", 200if __name__ == '__main__':    app.run(debug=True, host="0.0.0.0", port=9999)

④ 运行示例。

chmod给予权限后执行脚本：

执行结束在脚本所在目录生成markdown报告：

0x02 GScan - Linux后门专项检测

2.1 功能简介

具有后门类检测、主机信息获取、系统初始化alias检查、文件类安全扫描、各用户历史操作类、进程类安全检测、网络类安全检测等12大项分类；扫描隐藏进程、异常内核模块，检查SSH后门、LD_PRELOAD劫持、结合/var/log/secure定位入侵时间线。

2.2 项目地址

https://github.com/grayddq/GScan

2.3 使用方法

① 通过git clone 安装。

git clone https://github.com/grayddq/GScan.git 

② 运行示例

python GScan.py -h

开启全盘深度扫描：

python GScan.py --full

扫描结束会在/log文件夹下生成扫描日志：

0x03 Hawkeye - Windows综合应急响应工具

3.1 功能简介

Hawkeye一款基于golang开发的安全工具，旨在帮助安全工程师上机排查时能够快速的定位问题，提供排查思路。具有外连分析,可以精准定位恶意进程的远程连接（IP/端口/协议），关联启动项、服务等持久化入口，Beacon扫描可检测内存中的C2通信特征（如Metasploit、Cobalt Strike），还包括主机审计功能，涵盖用户隐藏账号、计划任务、服务路径、注册表启动项等全面检查。

3.2 项目地址

https://github.com/mir1ce/Hawkeye

3.3 使用方法

① 直接运行使用，需要管理员权限启动。

② 运行示例。

0x04 D盾 - Windows后门查杀

4.1 功能简介

D盾是一款专注于Web应用安全防护的综合型工具，由深圳迪元素科技有限公司开发，主要服务于Windows服务器（尤其是IIS环境）和网站的安全防护。其核心功能覆盖Webshell查杀、主动防御、攻击拦截等，被广泛用于防御DDoS、CC攻击、注入攻击等网络威胁。

4.2 下载地址

https://www.d99net.net

4.3 使用方法

① 官网下载程序后，选择对应目录或全盘查杀。

② 该工具还包括IIS流量、启动项、进程、端口等检测模块。

0x05 总结

合理使用应急辅助排查工具，减少前期收集服务器信息的时间，是提升安全响应效率的核心策略。