1、工具简介

Hawkeye是一款基于Golang开发的综合型应急响应排查工具，主要功能如下：

• 查看进程信息
• 输入外联地址后查找程序
• Beacon扫描
• 检查系统用户、计划任务、服务信息、启动项信息
• 对系统日志、sqlserver日志、powershell日志进行分析
• 进程扫描

2、下载与安装

通过Github进行下载：

https://github.com/mir1ce/Hawkeye

系统兼容：

• Windows7-Windows11

3、操作与使用

3.1页面简介

工具为图形化页面，可直接右键选择管理员运行打开，进入页面后可以看到主要功能项有：进程信息、外连助手、Beacon扫描、主机信息、日志分析、进程扫描。

3.2进程信息

进程信息操作方式与资源管理器基本相同，最大的亮点就是选中某一进程时，下方会自动显示出该进程调用的DLL以及DLL文件对应的MD5值、是否有数字签名这些信息，这些信息在应急响应时会方便很多，当查找到某一可疑进程时可以快速定位，并且可查看进程树或终止进程。

3.3外联助手

该功能可以在发现某一外联地址后进行快速扫描，找到外联地址对应的进程和可疑文件。

3.4Beacon扫描

工具支持一键式全盘扫描木马病毒。

3.5主机信息

主机信息项功能有：用户信息、计划任务、服务信息、启动项信息。

• 用户信息：可显示当前系统所有用户，发现隐藏用户时会在备注栏标注为后门账户。

• 计划任务：可显示当前主机所有计划任务信息。

• 服务信息：列取当前系统服务。

• 启动项信息：查看所有启动项信息。

3.6日志分析

该工具的日志分析功能无疑是亮点之一，分门别类的日志类型整理，可以让使用者从繁琐复杂的日志审计工作中解脱出来，从而快速定位攻击来源。

3.7进程扫描

进程扫描也是一个比较好用的功能项，可以一键式对系统进程进行扫描匹配，从而快速找出病毒与木马文件。