文章总结： 本文档介绍了Windows应急响应工具Hawkeye(鹰眼)，集成了进程扫描、外连分析、主机信息及日志分析等功能。该工具支持Beacon检测、Yara规则扫描、内存字符串检索及活动痕迹分析，能有效发现隐藏账户、异常服务及CobaltStrike加载进程，适用于多版本Windows系统，建议在管理员权限下使用以提升主机安全排查效率。 综合评分： 90 文章分类： 应急响应,安全工具,终端安全

Windows应急响应工具—Hawkeye(鹰眼)。集Windows日志分析，进程扫描，主机信息于一体的综合应急响应分析工具

mir1ce

W小哥

2026年1月11日 12:20 浙江

⭐核心特点

进程信息

外连分析

beacon扫描

主机信息

日志分析

进程扫描

活动痕迹

内存检索

⭐功能

进程信息

该功能能够查看当前主机所有的进程信息包含进程名称、父进程pid、父进程名称、进程创建时间、可执行文件路径、MD5等关键信息，点击相关进程后能够查看当前进程加载的DLL模块信息，并且右键支持进程信息复制以及文件跳转等功能

外连助手

旨在发现异常外连后，通过外连ip及时发现相关程序进程以及常见维持项信息，方便进行快速的分析处置的工作。

beacon扫描

该功能会遍历当前系统进程信息，并且找出CobaltStrike加载的进程，并解析相关信息。

主机信息

主机信息模块包含了用户信息、计划任务、服务信息、启动项信息以及镜像劫持

用户信息会标识当前系统存在的隐藏账户，并进行提示

计划任务模块，会检索当前系统存在的计划任务信息，并且调用yara扫描模块，检索是否存在恶意程序。

同理计划服务、启动项以及镜像劫持等功能也会展示相关信息，并调用yara扫描模块，对这些常见维持项进行扫描。

日志分析

日志分析模块，涵盖常见Windows应急分析过程中，常见的Windows事件，如登录成功、登录失败、RDP登录、RDP连接、服务创建、用户创建、sqlserver日志以及powershell日志等信息。

并且在服务创建模块中会对异常服务信息进行标记，发现可能被横向攻击的服务日志。

在sqlserver日志中也会对异常的组件激活行为进行标识。

同理在powershell日志分析模块中也会对异常的powershell命令进行标记，发现安全风险。

进程扫描

进程扫描采用了yara扫描的功能，能够对当前系统进程进行扫描，发现异常风险。若发现异常进程，会将相关信息打印在告警日志面板。

该功能采用了elastic security的yara规则，在HawkEye同级目录下的rules文件夹中，用户可以将自己编写的yara规则放在该目录下，文件后缀为.yara，如果在其他目录下放有yara规则，程序提供了输入框，可以根据相关规则路径，进行引入。

活动痕迹

主机会采集当前系统Prefetch文件、UserAssit以及Recent文件夹相关信息进行展示，方便用户分析主机实现时攻击者通过RDP进行操作的相关记录。

威胁检索

该功能会对当前主机内存进行字符串检索，常用于异常域名外连的使用场景，方便快速定位可疑进程。

各平台运行效果

Windows11

Windows Server 2019

Windows7

其他问题

1、程序需要在管理员权限下进行使用，如果在非管理员权限运行，程序提示权限不够。

2、程序退出时会有直接退出或者托盘运行的提示，根据用户需要选择退出方式，点击yes程序会直接退出。

如果是托盘运行，退出程序后，需要在托盘处选择退出，程序即可退出。

关注公众号回复“20260111”获取工具地址。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：W小哥 mir1ce《Windows应急响应工具—Hawkeye(鹰眼)。集Windows日志分析，进程扫描，主机信息于一体的综合应急响应分析工具》