【渗透工具】D-Eyes一款绿盟科技检测与响应工具

adopi

【渗透工具】D-Eyes一款绿盟科技检测与响应工具

【渗透工具】D-Eyes一款绿盟科技检测与响应工具
信安404 2023-11-14 19:51 发表于天津
免责声明

    ❝

    本公众号所发布的文章及工具只限交流学习，本公众号不承担任何责任！如有侵权，请告知我们立即删除。

简介:

    ❝

    D-Eyes为绿盟科技一款检测与响应工具。

作为应急响应工具，支持勒索挖矿病毒及webshell等恶意样本排查检测，辅助安全工程师应急响应时排查入侵痕迹，定位恶意样本。作为基线检查工具，辅助检测和排查操作系统配置缺陷；(TODO) 作为软件供应链安全检查工具，可提取web应用程序开源组件清单（sbom），判别引入的组件风险。(TODO)
使用
运行
Windows

请以管理员身份运行cmd，之后再输入D-Eyes路径运行即可或进入终端后切换到D-Eyes程序目录下运行程序。
Linux

请以root身份运行
文件扫描

若扫到恶意文件，会在D-Eyes所在目录下自动生成扫描结果D-Eyes.xlsx文件，若未检测到恶意文件则不会生成文件，会在终端进行提示。
Windows

命令：D-Eyes fs
指定路径扫描(-P 参数)
单一路径扫描：D-Eyes fs -P D:\tmp 多个路径扫描：D-Eyes fs -P C:\Windows\TEMP,D:\tmp,D:\tools
指定线程扫描(-t 参数)
命令：D-Eyes fs -P C:\Windows\TEMP,D:\tmp -t 3
指定单一规则扫描(-r 参数)
命令：D-Eyes fs -P D:\tmp -t 3 -r Ransom.Wannacrypt
规则名称即将yaraRules目录下的规则去掉后缀.yar, 如：指定Ransom.Wannacrypt.yar规则，即-r Ransom.Wannacrypt。

Linux

命令：./D-Eyes fs
指定路径扫描(-P 参数)
单一路径扫描：./D-Eyes fs -P /tmp 多个路径扫描：./D-Eyes fs -P /tmp,/var
指定线程扫描(-t 参数)
命令：./D-Eyes fs -P /tmp,/var -t 3
指定单一规则扫描(-r 参数)
命令：./D-Eyes fs -P /tmp -t 3 -r Ransom.Wannacrypt
规则名称即将yaraRules目录下的规则去掉后缀.yar, 如：指定Ransom.Wannacrypt.yar规则，即-r Ransom.Wannacrypt。

进程扫描 进程扫描的结果在终端上进行提示。

Windows:

默认扫描(默认扫描全部进程)
命令：D-Eyes ps
指定进程pid扫描(-p参数)
命令：D-Eyes ps -p 1234
指定规则扫描(-r参数)
命令：D-Eyes ps -p 1234 -r Ransom.Wannacrypt
检测指定外联IP的进程
可将恶意ip添加到工具目录ip.config文件当中，执行D-Eyes ps程序会自动检测是否有进程连接该IP，最后结果会输出到终端。
ip.config文件格式(换行添加即可)，如：
0.0.0.0
127.0.0.1

Linux:

默认扫描(默认扫描全部进程)
命令：./D-Eyes ps
指定进程pid扫描(-p参数)
命令：./D-Eyes ps -p 1234
指定规则扫描(-r参数)
命令：./D-Eyes ps -p 1234 -r Ransom.Wannacrypt
检测指定外联IP的进程
可将恶意ip添加到工具目录ip.config文件当中，执行D-Eyes ps程序会自动检测是否有进程连接该IP，最后结果会输出到终端。
ip.config文件格式(换行添加即可)，如：
0.0.0.0
127.0.0.1

查看主机信息

Linux命令：./D-Eyes host

查看主机网络信息，并导出外联IP

Windows命令：D-Eyes netstat
Linux命令：./D-Eyes netstat

主机若存在远程连接，执行该条命令后会在工具同级目录下自动生成“RemoteConnectionIP.csv”文件，之后可直接将该文件上传到“绿盟NTI威胁研判模块”查询主机所有远程连接IP信息。绿盟NTI威胁研判模块网址：https://ti.nsfocus.com/advance/#/judge

查看主机账户

Linux命令：./D-Eyes users

显示主机CPU使用率前15个进程信息

Linux命令：./D-Eyes top

查看计划任务

Linux命令：./D-Eyes task

查看自启项

Windows命令：D-Eyes autoruns
Linux命令：./D-Eyes autoruns

导出主机基本信息

Windows命令：D-Eyes summary
Linux命令：./D-Eyes summary

执行该条命令后会在工具同级目录下自动生成“SummaryBaseInfo.txt”文件，文件内容包括主机系统信息、主机用户列表、主机计划任务及主机IP信息。

Linux主机自检命令

Linux命令：./D-Eyes sc

目前Linux自检功能支持以下模块检测：

空密码账户检测、
SSH Server wrapper检测、
SSH用户免密证书登录检测、
主机 Sudoer检测、
alias检测、
Setuid检测、
SSH登录爆破检测、
主机Rootkit检测、
主机历史命令检测、
主机最近成功登录信息显示、
主机计划任务内容检测、
环境变量检测、
系统启动服务检测、
TCP Wrappers 检测、
inetd配置文件检测、
xinetd配置文件检测、
预加载配置文件检测。

下载连接
https://pan.quark.cn/s/3b1c39117ec5

来源：小C学安全（如有侵权请联系删除）