Hawkeye鹰眼(Windows综合应急响应工具) 1.1

Hawkeye是一款由 Golang 开发的专业主机安全排查工具，专为安全工程师设计，能够在短时间内帮助快速定位主机安全问题，提供排查思路。无论是恶意外连分析、C2 通信排查，还是主机信息监控，Hawkeye 都能以直观的方式展示关键信息，协助工程师高效解决问题。

核心功能

1. 外连分析

Hawkeye 提供了强大的恶意外连排查功能，当发现主机存在异常外连行为时，可快速完成以下任务：

定位外连地址对应的进程。

查看进程连接详情，进一步追踪其相关文件和维持项(如启动项、服务等)。

适用于排查挖矿程序、木马、后门等常见恶意外连场景。

2. Beacon 扫描

针对主机存在的 C2 外连场景，Hawkeye 提供了 Beacon 扫描功能，可快速获取以下信息：

Beacon 的进程信息。

Beacon 的连接详情。

通过此功能，工程师可快速识别 C2 控制通信，降低主机被控制的风险。

3. 主机信息监控

Hawkeye 集成多种主机信息查看和日志分析功能，具体包括：

用户信息：查看当前主机用户，发现隐藏账户或恶意用户。

计划任务：分析主机上的计划任务及触发时间，识别恶意任务。

服务与启动项：快速分析主机上运行的服务及启动项。

日志分析：

登录成功日志：获取主机登录成功的详细记录，包括用户名、时间、IP 地址。

登录失败日志：记录所有登录失败信息，识别异常登录尝试。

服务创建日志：查看服务创建记录，包括服务名称和路径。

用户创建日志：查看新用户的详细信息，帮助识别可疑账户创建行为。

4. 扩展功能(计划中)

YARA 扫描：即将支持基于 YARA 规则的进程和文件扫描，进一步提升排查能力。

更多日志支持：未来将扩展日志分析范围，覆盖计划任务、PowerShell、RDP 等常见场景。

软件特点

高效易用：简单直观的界面，帮助安全工程师快速上手。

全面排查：从外连分析到主机信息监控，覆盖多种排查需求。

灵活扩展：支持未来更多功能模块，满足复杂场景的安全需求。

适配多场景：适用于挖矿排查、木马检测、后门清理、C2 通信分析等多种场景。

使用场景

企业安全运维：快速发现并解决主机上的安全隐患。

应急响应：精准锁定恶意外连或 C2 控制点，缩短排查时间。

日常安全监控：对主机用户、服务、计划任务等关键项进行实时审计。