Hawkeye(鷹眼) 是一款基于golang開發(fā)的安全工具，旨在幫助安全工程師上機排查時能夠快速的定位問題，提供排查思路。功能包含外連分析，當發(fā)現(xiàn)主機存在惡意外連時，并且知道外連地址，能夠快速的定位外連的進程，以及進程的連接信息。同時根據(jù)進程定位到對應的文件以及常見維持項。該功能適用于常見的外連場景，如挖礦，木馬，后門等。Beacon掃描，適用于主機存在C2外連場景，該功能能夠快速的掃描主機上的beacon信息，包括beacon的進程信息，beacon的連接信息等。還有主機信息，服務信息，啟動項信息，日志分析功能等等。

核心功能

1. 外連分析

Hawkeye 提供了強大的惡意外連排查功能，當發(fā)現(xiàn)主機存在異常外連行為時，可快速完成以下任務：

定位外連地址對應的進程。

查看進程連接詳情，進一步追蹤其相關文件和維持項(如啟動項、服務等)。

適用于排查挖礦程序、木馬、后門等常見惡意外連場景。

2. Beacon 掃描

針對主機存在的 C2 外連場景，Hawkeye 提供了 Beacon 掃描功能，可快速獲取以下信息：

Beacon 的進程信息。

Beacon 的連接詳情。

通過此功能，工程師可快速識別 C2 控制通信，降低主機被控制的風險。

3. 主機信息監(jiān)控

Hawkeye 集成多種主機信息查看和日志分析功能，具體包括：

用戶信息：查看當前主機用戶，發(fā)現(xiàn)隱藏賬戶或惡意用戶。

計劃任務：分析主機上的計劃任務及觸發(fā)時間，識別惡意任務。

服務與啟動項：快速分析主機上運行的服務及啟動項。

日志分析：

登錄成功日志：獲取主機登錄成功的詳細記錄，包括用戶名、時間、IP 地址。

登錄失敗日志：記錄所有登錄失敗信息，識別異常登錄嘗試。

服務創(chuàng)建日志：查看服務創(chuàng)建記錄，包括服務名稱和路徑。

用戶創(chuàng)建日志：查看新用戶的詳細信息，幫助識別可疑賬戶創(chuàng)建行為。

4. 擴展功能(計劃中)

YARA 掃描：即將支持基于 YARA 規(guī)則的進程和文件掃描，進一步提升排查能力。

更多日志支持：未來將擴展日志分析范圍，覆蓋計劃任務、PowerShell、RDP 等常見場景。

軟件特點

高效易用：簡單直觀的界面，幫助安全工程師快速上手。

全面排查：從外連分析到主機信息監(jiān)控，覆蓋多種排查需求。

靈活擴展：支持未來更多功能模塊，滿足復雜場景的安全需求。

適配多場景：適用于挖礦排查、木馬檢測、后門清理、C2 通信分析等多種場景。

使用場景

企業(yè)安全運維：快速發(fā)現(xiàn)并解決主機上的安全隱患。

應急響應：精準鎖定惡意外連或 C2 控制點，縮短排查時間。

日常安全監(jiān)控：對主機用戶、服務、計劃任務等關鍵項進行實時審計。

更新日志

v3版本，新增多個功能 Latest

本次更新如下 ：

1、新增主機活動信息
2、服務、計劃任務yara掃描
3、取消啟動彈窗，直接進入程序界面
4、修復部分平臺無法正常退出的bug
5、取消內(nèi)置規(guī)則，將原有內(nèi)置規(guī)則放到程序目錄下的rules文件夾下
6、增加威脅檢索，用戶可以在內(nèi)存中搜索指定字符串
7、優(yōu)化進程掃窗口展示功能，將異常項單獨輸出日志窗口
8、新增部分數(shù)據(jù)復制功能
9、增加sqlserver、powershell、服務創(chuàng)建異常提示標簽