首页 > 系统相关 >Hawkeye :一款Windows综合应急响应工具

Hawkeye :一款Windows综合应急响应工具

时间:2025-01-10 20:46:02浏览次数:1  
标签:功能 登录 Windows 主机 信息 Hawkeye 日志 应急 外连

文章来源以下公众号:也总想挖RCE,喜欢的师傅点点关注!

简介

Hawkeye(鹰眼)一款基于golang开发的安全工具,旨在帮助安全工程师上机排查时能够快速的定位问题,提供排查思路。

功能

外连分析

当发现主机存在恶意外连时,并且知道外连地址,能够快速的定位外连的进程,以及进程的连接信息。同时根据进程定位到对应的文件以及常见维持项。该功能适用于常见的外连场景,如挖矿,木马,后门等。 如下图所示,以todesk为例,通过外连分析功能,能够快速的定位到todesk.exe进程,以及进程的连接信息。

Beacon扫描

适用于主机存在C2外连场景,该功能能够快速的扫描主机上的beacon信息,包括beacon的进程信息,beacon的连接信息等。

主机信息

该功能能够查看常见的主机信息,具体如下:

用户信息 能够查看当前主机用户,以及主机是否存在隐藏账号

计划任务 查看当前主机的计划任务以及触发时间

服务信息

启动项信息

日志分析

登录成功日志 该功能会获取当前主机所有登录成功的日志,包括用户名,登录时间,登录IP等信息。

登录失败日志 该功能会获取当前主机所有登录失败的日志,包括用户名,登录时间,登录IP等信息。

服务创建日志 该功能会获取当前主机所有服务创建的日志,包括服务名,服务路径等信息。

用户创建日志 该功能会获取当前主机所有用户创建的日志,包括用户名,用户路径等信息。方便安全工程师查看是否存在可以账号的创建。

Todo

1、yara进程、文件扫描 2、新增其他日志项,如计划任务、powershell、RDP等

项目地址

https://github.com/mir1ce/Hawkeye

标签:功能,登录,Windows,主机,信息,Hawkeye,日志,应急,外连
From: https://www.cnblogs.com/o-O-oO/p/18664667

相关文章

  • 数据恢复技巧:适用于 Windows 的 11 款最佳数据恢复软件
    DATA是数字世界中无价之宝。任何类型的数据丢失都是一个严重的挫折,并且只有一个问题:“如何恢复我的文件?数据丢失可能会导致个人和专业方面的严重问题。数据恢复软件是检索已删除、格式化或丢失数据的生命线。 本文列出了适用于Windows11、Windows10及更低版本的最佳......
  • 免费手动打Windows Server补丁
    免费手动打WindowsServer2008R2补丁https://catalog.update.microsoft.com/search.aspx?q=kb4474419然后到windows上双击运行即可......
  • Windows 11 Hyper-V 运行WSL2(Windows Subsystem for Linux ) openEuler 从 22.09升级24
    版本  Windows11专业版版本号  22H2安装日期  ‎2023/‎3/‎19操作系统版本  22621.4387体验  WindowsFeatureExperiencePack1000.22700.1047.0-[archives.openeuler.openatom.cn/openEuler-22.09/everything/x86\_64/](https://archives.openeuler.o......
  • Windows服务器自带防火墙查看启停记录信息
    <sectionid="nice"data-tool="mdnice编辑器"data-website="https://www.mdnice.com"style="margin-top:0px;margin-bottom:0px;margin-left:0px;margin-right:0px;background-attachment:scroll;background-clip:border-bo......
  • 第一届solar杯·应急响应挑战赛 部分WP
    ‍官方题解:mp.weixin.qq.com/s/kMvwfBJgd7ugaWzm5U-5Ww笔者:Agony签到题题目:本题作为签到题,请给出邮服发件顺序。Received:frommail.da4s8gag.com([140.143.207.229])bynewxmmxszc6-1.qq.com(NewMX)withSMTPid6010A8ADfor;Thu,17Oct202411:24:01+......
  • 第一届solar杯·应急响应挑战赛 部分WP
    ‍官方题解:mp.weixin.qq.com/s/kMvwfBJgd7ugaWzm5U-5Ww笔者:Agony签到题题目:本题作为签到题,请给出邮服发件顺序。Received:frommail.da4s8gag.com([140.143.207.229])bynewxmmxszc6-1.qq.com(NewMX)withSMTPid6010A8ADfor;Thu,17Oct202411:24:01+......
  • JAVA开源免费项目 基于Vue和SpringBoot的常规应急物资管理系统(附源码)
    本文项目编号T159,文末自助获取源码\color{red}{T159,文末自助获取源码}......
  • VTK库Windows环境安装
     VTK(VisualizationToolkit)是一款用于三维计算机图形学、图像处理和可视化的开源软件系统。本文介绍windows系统下,从通过命令行从源码编译VTK库的过程。 1.准备工作安装好cmake,因为后续需要使用QT,所以也安装好QT环境 2.源码下载从VTK官网下载源码压纹包,解压到本地目录......
  • 零失误!Mosquitto 服务器这样配置,稳接 PLC 每一份数据(Windows)
    在使用 Mosquitto的过程中,大家是不是常常碰到一些棘手的状况?比如说,满心欢喜地想要从别的IP地址访问Mosquitto服务,结果却被无情地拒之门外;好不容易琢磨着给服务设置个账号密码,加强下安全防护,却频频遭遇失败,怎么弄都不对;更让人头大的是,有时候连Mosquitto服务都启动不了,看......
  • Windows Sockets(Winsock) 是微软在 Windows 操作系统中提供的一组 API(应用程序接口),用于
    WindowsSockets(简称Winsock)是什么?WindowsSockets(Winsock)是微软在Windows操作系统中提供的一组API(应用程序接口),用于实现网络通信协议的标准。它是基于套接字(socket)模型的,允许开发者在Windows平台上通过网络进行通信。通过Winsock,程序可以进行各种网络操作,如建立TCP/IP......