打開網(wǎng)易新聞 查看精彩圖片

經(jīng)常在網(wǎng)上下載軟件的朋友，可能會擔(dān)心一個問題，經(jīng)常在新聞或者別人那里看到吐槽說中了病毒什么的，自己怎么就沒有遇到？

會不會是中招了但是自己一直不知道。

打開網(wǎng)易新聞 查看精彩圖片

又或者是鼠標(biāo)亂動，按鍵失靈，卻擔(dān)心是被人遠(yuǎn)程操控了，時(shí)常還有各種利用設(shè)備挖礦的惡意軟件暴露出來，加上有些朋友喜歡給電腦去除所有的安全軟件，還確實(shí)有可能。

打開網(wǎng)易新聞 查看精彩圖片

除了使用出名的大廠安全軟件，今天我們來看一款小眾的工具——Hawkeye 鷹眼Windows綜合應(yīng)急響應(yīng)工具。

它可以用來快速排查電腦上的可疑操作，看看電腦是不是后臺連接了其他人的惡意服務(wù)連接，在系統(tǒng)上的奇怪用戶和隱藏賬號，以及登錄日志和服務(wù)創(chuàng)建信息等等。

需要用管理員權(quán)限打開，打開之后可以用來分析進(jìn)程，加載的DLL文件。

打開網(wǎng)易新聞 查看精彩圖片

如果知道電腦里有奇怪的連接IP，或者可疑的地址和曝光出來的惡意服務(wù)器地址，就可以用它來查看連接信息。

打開網(wǎng)易新聞 查看精彩圖片

如果有關(guān)聯(lián)的持續(xù)維持任務(wù)也能一起找到，這樣就可以一起處理，避免過段時(shí)間和重啟之后又冒出來。

打開網(wǎng)易新聞 查看精彩圖片

Hawkeye還可以進(jìn)行Beacon掃描，這個通常是掃不出內(nèi)容的，如果掃出來異常的內(nèi)容，那你電腦上很可能有臟東西在等待執(zhí)行攻擊者的命令，那就比較哈人了。

打開網(wǎng)易新聞 查看精彩圖片

打開網(wǎng)易新聞 查看精彩圖片

可以點(diǎn)開下面的圖片簡單了解一下擴(kuò)展內(nèi)容。

打開網(wǎng)易新聞 查看精彩圖片

打開網(wǎng)易新聞 查看精彩圖片

之后就是主機(jī)信息模塊，可以查看賬戶狀態(tài)，計(jì)劃的任務(wù)、服務(wù)信息和啟動項(xiàng)，可以查看是否有簽名，這個功能比較常規(guī)，需要自己分辨。

打開網(wǎng)易新聞 查看精彩圖片

看作者項(xiàng)目提供的截圖，有異常似乎也會標(biāo)注出來，大家可以自己檢查一下。

打開網(wǎng)易新聞 查看精彩圖片

在日志分析功能下，可以看到系統(tǒng)的登錄情況和錯誤嘗試，如果你的設(shè)備接入了公網(wǎng)，就能看到一天到晚都有國內(nèi)和國外的IP在嘗試登錄，有的一整天都在嘗試。

打開網(wǎng)易新聞 查看精彩圖片

這時(shí)候就要注意把各種密碼設(shè)置得嚴(yán)格一點(diǎn)，還有做好路由管理和權(quán)限驗(yàn)證等等，如果你在登錄成功的日志里找到了奇怪的IP，那就需要仔細(xì)檢查了。

在這里能統(tǒng)一看到服務(wù)和用戶賬號的創(chuàng)建日志，比自己去系統(tǒng)里查閱要方便一點(diǎn)，如果有惡意工具沒有擦干凈痕跡，那么可以在這里直接看到。

打開網(wǎng)易新聞 查看精彩圖片

比較實(shí)用的還有就是Hawkeye可以查看Powershell的日志，有些工具會有命令行來執(zhí)行命令，對于普通用戶也可以用來查看軟件的自動化配置。

打開網(wǎng)易新聞 查看精彩圖片

像是這個Winhance的任務(wù)，是之前體驗(yàn)軟件時(shí)留下來的，過了很久可能自己都忘了，但是它還在自己執(zhí)行任務(wù)，就可以找出來看看電腦里有多少這樣“歷史遺留”的軟件任務(wù)。

有了這個小工具，就可以在覺得電腦不正常時(shí)掏出來看一下，算是一個小巧的電腦安全輔助查詢工具，而且也不復(fù)雜，非常適合普通用戶使用，完成初步分析和排查。