Hawkeye是一款由 Golang 开发的专业主机安全排查工具,专为安全工程师设计,能够在短时间内帮助快速定位主机安全问题,提供排查思路。无论是恶意外连分析、C2 通信排查,还是主机信息监控,Hawkeye 都能以直观的方式展示关键信息,协助工程师高效解决问题。
核心功能
1. 外连分析
Hawkeye 提供了强大的恶意外连排查功能,当发现主机存在异常外连行为时,可快速完成以下任务:
定位外连地址对应的进程。
查看进程连接详情,进一步追踪其相关文件和维持项(如启动项、服务等)。
适用于排查挖矿程序、木马、后门等常见恶意外连场景。
2. Beacon 扫描
针对主机存在的 C2 外连场景,Hawkeye 提供了 Beacon 扫描功能,可快速获取以下信息:
Beacon 的进程信息。
Beacon 的连接详情。
通过此功能,工程师可快速识别 C2 控制通信,降低主机被控制的风险。
3. 主机信息监控
Hawkeye 集成多种主机信息查看和日志分析功能,具体包括:
用户信息:查看当前主机用户,发现隐藏账户或恶意用户。
计划任务:分析主机上的计划任务及触发时间,识别恶意任务。
服务与启动项:快速分析主机上运行的服务及启动项。
日志分析:
登录成功日志:获取主机登录成功的详细记录,包括用户名、时间、IP 地址。
登录失败日志:记录所有登录失败信息,识别异常登录尝试。
服务创建日志:查看服务创建记录,包括服务名称和路径。
用户创建日志:查看新用户的详细信息,帮助识别可疑账户创建行为。
4. 扩展功能(计划中)
YARA 扫描:即将支持基于 YARA 规则的进程和文件扫描,进一步提升排查能力。
更多日志支持:未来将扩展日志分析范围,覆盖计划任务、PowerShell、RDP 等常见场景。
软件特点
高效易用:简单直观的界面,帮助安全工程师快速上手。
全面排查:从外连分析到主机信息监控,覆盖多种排查需求。
灵活扩展:支持未来更多功能模块,满足复杂场景的安全需求。
适配多场景:适用于挖矿排查、木马检测、后门清理、C2 通信分析等多种场景。
使用场景
企业安全运维:快速发现并解决主机上的安全隐患。
应急响应:精准锁定恶意外连或 C2 控制点,缩短排查时间。
日常安全监控:对主机用户、服务、计划任务等关键项进行实时审计。
Abelssoft AntiLogger英文/9.9 MB