作为应急响应工具，支持勒索挖矿病毒及webshell等恶意样本排查检测，辅助安全工程师应急响应时排查入侵痕迹，定位恶意样本。(TODO) 作为基线检查工具，辅助检测和排查操作系统配置缺陷；(TODO) 作为软件供应链安全检查工具，可提取web应用程序开源组件清单（sbom），判别引入的组件风险。

工具使用

命令：    filescan, fs 用于扫描文件系统的命令    processcan, ps 用于扫描进程的命令    host 显示主机基本信息的命令    users 显示主机上所有用户的命令    top 显示CPU使用率前15个进程的命令    netstat 显示主机网络信息的命令    task 显示主机上所有任务的命令    autoruns 用于显示主机上所有自动运行的命令    导出主机基本信息的命令    check 命令用于检查漏洞利用情况    help, h 显示命令列表或一个命令的帮助
命令选项：    --path 值，-P 值 -P C://（仅适用于 Filescan）（默认值：“C://”）    --pid value, -p value -p 666 (仅适用于processcan。'-1'表示所有进程。) (默认值: -1)    --规则值，-r 值 -r Ransom.Wannacrypt    --线程值，-t 值 -t 1（仅适用于文件扫描）（默认值：5）    --vul value, -v value -v 1（1 用于检查 Exchange Server OWASSRF 利用）（默认值：0）    --help, -h 显示帮助（默认值：false）

1.默认扫描(默认以5个线程扫描C盘)命令：D-Eyes fs
2.指定路径扫描(-P 参数)单一路径扫描：D-Eyes fs -P D:\tmp多个路径扫描：D-Eyes fs -P C:\Windows\TEMP,D:\tmp,D:\tools
3.指定线程扫描(-t 参数)命令：D-Eyes fs -P C:\Windows\TEMP,D:\tmp -t 3
4.指定单一规则扫描(-r 参数)命令：D-Eyes fs -P D:\tmp -t 3 -r Ransom.Wannacrypt

1.默认扫描(默认扫描全部进程)命令：D-Eyes ps
2.指定进程pid扫描(-p参数)命令：D-Eyes ps -p 1234
3.指定规则扫描(-r参数)命令：D-Eyes ps -p 1234 -r Ransom.Wannacrypt
4.检测指定外联IP的进程可将恶意ip添加到工具目录ip.config文件当中，执行D-Eyes ps程序会自动检测是否有进程连接该IP，最后结果会输出到终端。
ip.config文件格式(换行添加即可)，如：0.0.0.0127.0.0.1

./D-Eyes summary

./D-Eyes sc

./D-Eyes netstat

注意事项

下载地址

信 安 考 证