简介

Hawkeye（鹰眼）是一款基于Golang开发的Windows综合应急响应工具，旨在帮助安全工程师快速排查主机安全问题并定位异常。其核心功能包括外连分析（精准定位恶意进程及连接信息）、Beacon扫描（检测C2外连场景）、主机信息审计（用户账号、计划任务、服务等）、日志深度分析（登录事件、RDP/SQLServer/PowerShell操作日志），并提供文件签名验证功能以识别可疑文件。该工具通过自动化采集系统关键数据，辅助分析挖矿木马、后门攻击等场景，尤其适用于攻防演练和勒索事件响应。

✨功能展示

✨外连分析

精准定位恶意外连进程及其关联信息（远程地址/端口/协议），智能溯源至进程文件与系统维持项（如启动项/服务），有效应对挖矿木马、远控后门等场景。示例演示：输入可疑IP后，可快速锁定todesk.exe进程及其通信详情。

✨Beacon扫描

专为C2通信场景设计，一键扫描内存中的Beacon特征，输出进程ID、通信协议、心跳周期等关键指标，助力快速识别APT攻击痕迹。

✨其他功能

主机信息审计

用户审计：检测本地/域账号、隐藏账户及异常权限
任务监控：可视化计划任务执行周期与触发规则
服务排查：解析服务二进制路径及启动状态
自启动项：追踪注册表/启动目录等持久化入口

日志深度取证

登录审计：采集成功/失败登录事件（用户/IP/时间戳）
服务溯源：追踪服务创建记录（名称/路径/操作时间）
账号监控：记录用户创建行为（用户名/SID/创建路径）
操作审计：解析RDP/PowerShell/SQLServer等敏感日志

使用说明

需要以 管理员身份 运行此程序
本程序使用upx进行压缩，部分杀毒软件可能会识别为病毒

更新日志

本次更新如下 ：
1、新增主机活动信息
2、服务、计划任务yara扫描
3、取消启动弹窗，直接进入程序界面
4、修复部分平台无法正常退出的bug
5、取消内置规则，将原有内置规则放到程序目录下的rules文件夹下
6、增加威胁检索，用户可以在内存中搜索指定字符串
7、优化进程扫窗口展示功能，将异常项单独输出日志窗口
8、新增部分数据复制功能
9、增加sqlserver、powershell、服务创建异常提示标签