【工具推荐】一款图形化Windows应急工具

admin 2025年4月25日10:00:58评论29 views字数 1128阅读3分45秒阅读模式

免责声明

【工具推荐】一款图形化Windows应急工具
【工具推荐】一款图形化Windows应急工具

本文旨在提供有关特定漏洞工具或安全风险的详细信息,以帮助安全研究人员、系统管理员和开发人员更好地理解和修复潜在的安全威胁,协助提高网络安全意识并推动技术进步,而非出于任何恶意目的。利用本文提到的漏洞信息或进行相关测试可能会违反法律法规或服务协议。作者不对读者基于本文内容而产生的任何行为或后果承担责任。如有任何侵权问题,请联系作者删除。

【工具推荐】一款图形化Windows应急工具

简单介绍

【工具推荐】一款图形化Windows应急工具

工具为安全分析、应急响应、事件响应、DFIR、安全服务等岗位从业人员设计的一个图形化Windows安全分析工具,涵盖常见Windows安全分析场景,能够有效的发现Windows主机存在的安全威胁。工具整体实现由go语言编写,通过调用Windows系统API获取主机相关信息,并将常见需要分析的事件ID展示在图形化界面,无需去记忆繁杂的Windows事件id,小白也能很快的上手进行分析,大幅度降低使用门槛。工具集成了yara扫描的功能,用户可以根据自身需要编写yara规则,对进程进行威胁检索,程序自身使用elastic security相关规则,涵盖大部分已知的安全威胁。并且程序提供了友好的数据复制功能,在编写安全报告时,直接复制数据即可使用。

平台支持:

Windows7-Windows11

【工具推荐】一款图形化Windows应急工具

功能介绍

【工具推荐】一款图形化Windows应急工具
  • 进程信息:能够查看当前主机相关进程,并且支持查看相关进程加载的DLL模块,支持文件跳转,进程终止等功能

  • 外连分析 :通过外连IP快速定位异常进程,并输出常见的自启动维持项。

  • beacon扫描 :集成BeaconEye模块,检索当前系统的CobaltStrike异常进程

  • 主机信息:涵盖常见分析场景,主机用户、计划任务、服务、自启动等信息,并对可执行文件路径采用yara进行扫描,并进行提示。

  • 日志分析:涵盖Windows常见Windows事件id分析场景,如登录成功、登录失败、RDP登录、SqlServer、服务、Powershell等。

  • 进程扫描:引入yara扫描引擎,对当前系统进程进行扫描,用户可以在输入框内输入yara规则路径,并且可以通过修改hawkeye目录下的rules文件下规则,进行定制化修改。

  • 活动痕迹:工具对常见活动痕迹进行了采集,如Prefetch文件解析、UserAssit活动记录以及Recent文件夹信息,查看主机历史的操作记录。

  • 内存检索:能够通过指定字符串对进程进行检索,可用于僵尸网络、恶意外连、挖矿病毒等相关场景。

进程信息

【工具推荐】一款图形化Windows应急工具

日志分析

【工具推荐】一款图形化Windows应急工具
主机信息
【工具推荐】一款图形化Windows应急工具

资源下载

【工具推荐】一款图形化Windows应急工具

GitHub地址:

https://github.com/mir1ce/Hawkeye

喜欢的师傅赶紧冲!!!

【工具推荐】一款图形化Windows应急工具

创作不易,点赞、分享、转发支持一下吧!!

原文始发于微信公众号(sec0nd安全):【工具推荐】一款图形化Windows应急工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月25日10:00:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【工具推荐】一款图形化Windows应急工具https://cn-sec.com/archives/3998521.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息