[更新]Linux下应急响应工具whohk v1.1版本

2021-09-22 15:10:13 浏览数 (2)

前言

距离上一个版本发布已经将近一年了,原本是自己工作之余捣鼓的一个提高效率的小工具,在这一年中收到了很多反馈,才发现原来这款工具给挺多人在实际工作中提高 很大的效率,所以这次根据之前的反馈,进行了一些更新。

上一个版本及使用说明:《whohk,一款强大的linux应急响应辅助工具》

更新日志

【优化】

优化了系统类型识别方式

优化工具调用指令

优化系统账号检查策略

优化账户敏感历史命令检查策略

更新ip离线库

【新增】

检查攻击日期内变动的文件(自定义路径、时间、后缀)

检查可疑权限的文件(自定义路径、后缀、权限)

回答一些问题

1、为什么不更新webshell和恶意软件的扫描规则?

答:这些规则都是基于yara的外置规则,使用者可以自己随时修改更新,扫描规则根据自己工作中遇到的各种样本去对应更新就好了。可以参考我另一篇文章《如何打造一款自己的恶意样本检测工具》

2、Linux有很多发行版,支持哪些?

答:支持主流的Linux,包含centos、redhat、ubuntu、debian、opensuse。

3、为什么在github上下载下来是空的?

答:在右侧release区域下载打包好的文件,而不是clone仓库。

4、能不能加一个一键输出所有信息的功能?

答:想了想还是没加,因为很多功能需要自定义参数,如路径、时间等,即使设置一个缺省值也是不准确的,应急响应需要精准,需要根据实际情况去定位问题。

放两张图

HASH校验

MD5 (whohk) = d2b6652cf294c3b606b198fe1b6ad186

SHA256(whohk)= 36:3b:4d:6a:49:f5:99:2c:1c:02:e5:d6:ac:f7:e8:2f:1c:24:fa:22:bb:71:c5:d3:76:4c:27:9b:7b:5d:72:db

下载地址

https://github.com/heikanet/whohk

求star~

0 人点赞