HawkEye

HawkEye作为Windows综合应急响应工具，会在主机失陷后快速切断攻击链路，并将传统的命令行排查变成了直观的可视化操作，它会直接穿透网络层，一步到位定位到背后的具体进程、可执行文件路径及PID，这比传统的netstat命令要直观得多，非常适合用于排查挖矿木马、反弹Shell或后门的异常连接。

HawkEye优势

精准外连追踪：输入IP/域名后，工具会自动扫描所有网络连接，定位对应的进程，同时列出进程关联的文件和常见持久化项。

多协议支持：分析TCP/UDP 协议连接，覆盖常见恶意软件的通信方式，如挖矿木马的矿池连接、后门程序的C2通信。

一键定位文件：通过进程快速定位到可执行文件，直接打开文件所在目录，方便进一步分析或删除恶意文件。

持久化项关联：自动检测与恶意进程相关的启动项、服务和计划任务等，帮助彻底清除攻击者留下的后门。

HawkEye亮点

1、内存特征扫描

基于YARA规则扫描进程内存，能精准识别常见远控工具的特征字符串和内存结构。

2、Beacon信息提取

成功检测到Beacon后，提取进程ID、路径、C2 地址、端口和通信模式等关键信息，为溯源分析提供依据。

3、多种Beacon类型支持

支持检测标准Beacon、反射型Beacon、内存注入型Beacon等多种形态，提高检测覆盖率。

4、实时扫描功能

有定时扫描和手动触发扫描，适合持续监控系统中是否存在Beacon远控。

HawkEye怎么排查威胁

1、启动Hawkeye，先进行外连分析，输入已知的恶意外连 IP/域名，定位恶意进程。

2、运行Beacon扫描，检测系统中是否存在Cobalt Strike等远控工具。

3、进行主机信息审计，检查隐藏账号、异常计划任务、恶意服务和启动项。

4、分析系统日志和PowerShell日志，追溯攻击路径和操作痕迹。

5、对可疑进程进行内存扫描，使用YARA规则检测恶意代码。

6、验证可疑文件的数字签名，判断文件是否被篡改。