简介

Hawkeye（鹰眼）是一款基于Golang开发的Windows综合应急响应工具，旨在帮助安全工程师快速排查主机安全问题并定位异常。其核心功能包括外连分析（精准定位恶意进程及连接信息）、Beacon扫描（检测C2外连场景）、主机信息审计（用户账号、计划任务、服务等）、日志深度分析（登录事件、RDP/SQLServer/PowerShell操作日志），并提供文件签名验证功能以识别可疑文件。该工具通过自动化采集系统关键数据，辅助分析挖矿木马、后门攻击等场景，尤其适用于攻防演练和勒索事件响应。

✨功能展示

✨外连分析

精准定位恶意外连进程及其关联信息（远程地址/端口/协议），智能溯源至进程文件与系统维持项（如启动项/服务），有效应对挖矿木马、远控后门等场景。示例演示：输入可疑IP后，可快速锁定todesk.exe进程及其通信详情。

✨Beacon扫描

专为C2通信场景设计，一键扫描内存中的Beacon特征，输出进程ID、通信协议、心跳周期等关键指标，助力快速识别APT攻击痕迹。

✨其他功能

主机信息审计

• ​用户审计：检测本地/域账号、隐藏账户及异常权限
• ​任务监控：可视化计划任务执行周期与触发规则
• ​服务排查：解析服务二进制路径及启动状态
• ​自启动项：追踪注册表/启动目录等持久化入口

日志深度取证

• ​登录审计：采集成功/失败登录事件（用户/IP/时间戳）
• ​服务溯源：追踪服务创建记录（名称/路径/操作时间）
• ​账号监控：记录用户创建行为（用户名/SID/创建路径）
• ​操作审计：解析RDP/PowerShell/SQLServer等敏感日志

使用说明

• 需要以 管理员身份 运行此程序
• 本程序使用upx进行压缩，部分杀毒软件可能会识别为病毒

更新日志

1、添加防火墙出入站日志检测
2、添加计划任务创建检测
3、去除beaconeye文件特征(避免杀软误报导致工具被隔离)

下载

✈️ 全球下载通道

🚀 极核加速通道