免责声明
本文旨在提供有关特定漏洞工具或安全风险的详细信息,以帮助安全研究人员、系统管理员和开发人员更好地理解和修复潜在的安全威胁,协助提高网络安全意识并推动技术进步,而非出于任何恶意目的。利用本文提到的漏洞信息或进行相关测试可能会违反法律法规或服务协议。作者不对读者基于本文内容而产生的任何行为或后果承担责任。如有任何侵权问题,请联系作者删除。
简单介绍
工具为安全分析、应急响应、事件响应、DFIR、安全服务等岗位从业人员设计的一个图形化Windows安全分析工具,涵盖常见Windows安全分析场景,能够有效的发现Windows主机存在的安全威胁。工具整体实现由go语言编写,通过调用Windows系统API获取主机相关信息,并将常见需要分析的事件ID展示在图形化界面,无需去记忆繁杂的Windows事件id,小白也能很快的上手进行分析,大幅度降低使用门槛。工具集成了yara扫描的功能,用户可以根据自身需要编写yara规则,对进程进行威胁检索,程序自身使用elastic security相关规则,涵盖大部分已知的安全威胁。并且程序提供了友好的数据复制功能,在编写安全报告时,直接复制数据即可使用。
平台支持:
Windows7-Windows11
功能介绍
-
进程信息:能够查看当前主机相关进程,并且支持查看相关进程加载的DLL模块,支持文件跳转,进程终止等功能
-
外连分析 :通过外连IP快速定位异常进程,并输出常见的自启动维持项。
-
beacon扫描 :集成BeaconEye模块,检索当前系统的CobaltStrike异常进程
-
主机信息:涵盖常见分析场景,主机用户、计划任务、服务、自启动等信息,并对可执行文件路径采用yara进行扫描,并进行提示。
-
日志分析:涵盖Windows常见Windows事件id分析场景,如登录成功、登录失败、RDP登录、SqlServer、服务、Powershell等。
-
进程扫描:引入yara扫描引擎,对当前系统进程进行扫描,用户可以在输入框内输入yara规则路径,并且可以通过修改hawkeye目录下的rules文件下规则,进行定制化修改。
-
活动痕迹:工具对常见活动痕迹进行了采集,如Prefetch文件解析、UserAssit活动记录以及Recent文件夹信息,查看主机历史的操作记录。
-
内存检索:能够通过指定字符串对进程进行检索,可用于僵尸网络、恶意外连、挖矿病毒等相关场景。
进程信息
日志分析
资源下载
GitHub地址:
https://github.com/mir1ce/Hawkeye
喜欢的师傅赶紧冲!!!
创作不易,点赞、分享、转发支持一下吧!!
原文始发于微信公众号(sec0nd安全):【工具推荐】一款图形化Windows应急工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论