前言
距离上一个版本发布已经将近一年了,原本是自己工作之余捣鼓的一个提高效率的小工具,在这一年中收到了很多反馈,才发现原来这款工具给挺多人在实际工作中提高 很大的效率,所以这次根据之前的反馈,进行了一些更新。
上一个版本及使用说明:《whohk,一款强大的linux应急响应辅助工具》
更新日志
【优化】
优化了系统类型识别方式
优化工具调用指令
优化系统账号检查策略
优化账户敏感历史命令检查策略
更新ip离线库
【新增】
检查攻击日期内变动的文件(自定义路径、时间、后缀)
检查可疑权限的文件(自定义路径、后缀、权限)
回答一些问题
1、为什么不更新webshell和恶意软件的扫描规则?
答:这些规则都是基于yara的外置规则,使用者可以自己随时修改更新,扫描规则根据自己工作中遇到的各种样本去对应更新就好了。可以参考我另一篇文章《如何打造一款自己的恶意样本检测工具》
2、Linux有很多发行版,支持哪些?
答:支持主流的Linux,包含centos、redhat、ubuntu、debian、opensuse。
3、为什么在github上下载下来是空的?
答:在右侧release区域下载打包好的文件,而不是clone仓库。
4、能不能加一个一键输出所有信息的功能?
答:想了想还是没加,因为很多功能需要自定义参数,如路径、时间等,即使设置一个缺省值也是不准确的,应急响应需要精准,需要根据实际情况去定位问题。
放两张图
HASH校验
MD5 (whohk) = d2b6652cf294c3b606b198fe1b6ad186
SHA256(whohk)= 36:3b:4d:6a:49:f5:99:2c:1c:02:e5:d6:ac:f7:e8:2f:1c:24:fa:22:bb:71:c5:d3:76:4c:27:9b:7b:5d:72:db
下载地址
https://github.com/heikanet/whohk
求star~
