Windows应急响应工具，Hawkeye软件体验

经常在网上下载软件的朋友，可能会担心一个问题，经常在新闻或者别人那里看到吐槽说中了病毒什么的，自己怎么就没有遇到？

会不会是中招了但是自己一直不知道。

又或者是鼠标乱动，按键失灵，却担心是被人远程操控了，时常还有各种利用设备挖矿的恶意软件暴露出来，加上有些朋友喜欢给电脑去除所有的安全软件，还确实有可能。

除了使用出名的大厂安全软件，今天我们来看一款小众的工具——Hawkeye 鹰眼Windows综合应急响应工具。

它可以用来快速排查电脑上的可疑操作，看看电脑是不是后台连接了其他人的恶意服务连接，在系统上的奇怪用户和隐藏账号，以及登录日志和服务创建信息等等。

需要用管理员权限打开，打开之后可以用来分析进程，加载的DLL文件。

如果知道电脑里有奇怪的连接IP，或者可疑的地址和曝光出来的恶意服务器地址，就可以用它来查看连接信息。

如果有关联的持续维持任务也能一起找到，这样就可以一起处理，避免过段时间和重启之后又冒出来。

Hawkeye还可以进行Beacon扫描，这个通常是扫不出内容的，如果扫出来异常的内容，那你电脑上很可能有脏东西在等待执行攻击者的命令，那就比较哈人了。

可以点开下面的图片简单了解一下扩展内容。

之后就是主机信息模块，可以查看账户状态，计划的任务、服务信息和启动项，可以查看是否有签名，这个功能比较常规，需要自己分辨。

看作者项目提供的截图，有异常似乎也会标注出来，大家可以自己检查一下。

在日志分析功能下，可以看到系统的登录情况和错误尝试，如果你的设备接入了公网，就能看到一天到晚都有国内和国外的IP在尝试登录，有的一整天都在尝试。

这时候就要注意把各种密码设置得严格一点，还有做好路由管理和权限验证等等，如果你在登录成功的日志里找到了奇怪的IP，那就需要仔细检查了。

在这里能统一看到服务和用户账号的创建日志，比自己去系统里查阅要方便一点，如果有恶意工具没有擦干净痕迹，那么可以在这里直接看到。

比较实用的还有就是Hawkeye可以查看Powershell的日志，有些工具会有命令行来执行命令，对于普通用户也可以用来查看软件的自动化配置。

像是这个Winhance的任务，是之前体验软件时留下来的，过了很久可能自己都忘了，但是它还在自己执行任务，就可以找出来看看电脑里有多少这样“历史遗留”的软件任务。

有了这个小工具，就可以在觉得电脑不正常时掏出来看一下，算是一个小巧的电脑安全辅助查询工具，而且也不复杂，非常适合普通用户使用，完成初步分析和排查。

作者声明本文无利益相关，欢迎值友理性交流，和谐讨论～