文章来自于果核剥壳公众号首发:https://mp.weixin.qq.com/s/04TiDqmk5j59jaccynL5xg
经常在网上下载软件的朋友,可能会担心一个问题,经常在新闻或者别人那里看到吐槽说中了病毒什么的,自己怎么就没有遇到?
会不会是中招了但是自己一直不知道。
又或者是鼠标乱动,按键失灵,却担心是被人远程操控了,时常还有各种利用设备挖矿的恶意软件暴露出来,加上有些朋友喜欢给电脑去除所有的安全软件,还确实有可能。
除了使用出名的大厂安全软件,今天我们来看一款小众的工具——Hawkeye 鹰眼Windows综合应急响应工具。
它可以用来快速排查电脑上的可疑操作,看看电脑是不是后台连接了其他人的恶意服务连接,在系统上的奇怪用户和隐藏账号,以及登录日志和服务创建信息等等。
需要用管理员权限打开,打开之后可以用来分析进程,加载的DLL文件。
如果知道电脑里有奇怪的连接IP,或者可疑的地址和曝光出来的恶意服务器地址,就可以用它来查看连接信息。
如果有关联的持续维持任务也能一起找到,这样就可以一起处理,避免过段时间和重启之后又冒出来。
Hawkeye还可以进行Beacon扫描,这个通常是扫不出内容的,如果扫出来异常的内容,那你电脑上很可能有脏东西在等待执行攻击者的命令,那就比较哈人了。
可以点开下面的图片简单了解一下扩展内容。
之后就是主机信息模块,可以查看账户状态,计划的任务、服务信息和启动项,可以查看是否有签名,这个功能比较常规,需要自己分辨。
看作者项目提供的截图,有异常似乎也会标注出来,大家可以自己检查一下。
在日志分析功能下,可以看到系统的登录情况和错误尝试,如果你的设备接入了公网,就能看到一天到晚都有国内和国外的IP在尝试登录,有的一整天都在尝试。
这时候就要注意把各种密码设置得严格一点,还有做好路由管理和权限验证等等,如果你在登录成功的日志里找到了奇怪的IP,那就需要仔细检查了。
在这里能统一看到服务和用户账号的创建日志,比自己去系统里查阅要方便一点,如果有恶意工具没有擦干净痕迹,那么可以在这里直接看到。
比较实用的还有就是Hawkeye可以查看Powershell的日志,有些工具会有命令行来执行命令,对于普通用户也可以用来查看软件的自动化配置。
像是这个Winhance的任务,是之前体验软件时留下来的,过了很久可能自己都忘了,但是它还在自己执行任务,就可以找出来看看电脑里有多少这样“历史遗留”的软件任务。
有了这个小工具,就可以在觉得电脑不正常时掏出来看一下,算是一个小巧的电脑安全辅助查询工具,而且也不复杂,非常适合普通用户使用,完成初步分析和排查。
最后,附上软件的体验地址。
迅雷网盘地址:https://pan.xunlei.com/s/VOKVUktvZSJFU6uEgFfsPrBSA1?pwd=2hdg#
夸克网盘地址:https://pan.quark.cn/s/547a2628f0ee
在 极客果核 公众号
回复20250305获取最新链接
微信扫一扫 
支付宝扫一扫 
评论列表(2条)
夸克网盘链接错啦
已重新上传