D-Eyes：终端安全检测与响应专用工具

一、工具概述

D-Eyes是由绿盟科技旗下M-SEC社区开发的终端检测与响应工具，集应急响应、软件成分分析（SCA）和基线检查于一体，适用于Windows和Linux系统。相较于传统Webshell查杀工具（如河马、D盾），D-Eyes的功能更为全面，覆盖恶意文件扫描、主机信息取证、异常行为排查等场景，并支持与威胁情报平台联动，提升安全工程师的应急效率。

二、核心功能与操作指南

1. ​应急响应检测​

• ​恶意文件扫描​
  • ​默认扫描​：执行命令 D-Eyes de fs，默认以多线程扫描系统关键路径（如Windows的C盘），检测勒索病毒、挖矿程序、Webshell等威胁。若发现恶意文件，自动生成结果文件 D-Eyes.xlsx，否则仅终端提示。
  • ​定制化扫描​：通过参数灵活指定路径（-p）、线程数（-t）或规则（-r），例如 D-Eyes de fs -p F:\xxx -t 5 可快速定位指定目录的潜在风险。
• ​主机取证与排查​
  • ​基础信息获取​：D-Eyes de host 提取系统版本、内核信息及当前用户，辅助溯源攻击路径。
  • ​异常外联检测​：D-Eyes de netstat 分析进程外联IP，并生成 RemoteConnectionIP.csv，可直接上传至绿盟NTI威胁研判模块（链接）评估IP风险。
  • ​账户与进程排查​：
    • D-Eyes de user 列出所有用户账户，识别隐藏账户或异常权限。
    • D-Eyes de top 显示CPU占用率前15的进程，定位可疑资源消耗。
• ​持久化威胁检测​
  • ​计划任务与自启项​：通过 D-Eyes de task 和 D-Eyes de autorun 分别排查异常任务和自启动项，阻断后门驻留。
  • ​一键导出报告​：D-Eyes de export 生成 SummaryBaseInfo.txt，汇总系统信息、用户列表、网络配置等数据，便于快速归档。

2. ​Linux专项自检​

执行 ./D-Eyes de check 可深度检测Linux系统的安全配置，覆盖17项关键模块：

• ​账户安全​：空密码账户、SSH免密登录、Sudo权限配置。
• ​入侵痕迹​：Rootkit检测、历史命令审计、SSH爆破日志。
• ​服务与配置​：环境变量风险、预加载漏洞（如LD_PRELOAD）、TCP Wrappers策略等。

3. ​软件供应链安全（SCA）​​

通过 sbom 指令提取Web应用的组件清单，识别第三方库漏洞（需配合RyzeSCA等工具），防范依赖链攻击。

三、技术优势与创新

• ​多场景覆盖​：从应急响应到合规检查，满足企业级终端安全的全周期需求。
• ​规则库丰富​：内置超过47种勒索病毒家族（如WannaCrypt、LockBit）、5类挖矿程序（如Monero）、主流Webshell工具（冰蝎、哥斯拉）的检测规则。
• ​高效联动能力​：与绿盟威胁情报无缝对接，实现从本地检测到云端研判的闭环。

四、适用场景与推荐群体

• ​安全运维团队​：快速定位入侵事件，缩短应急响应时间。
• ​开发与运维人员​：自查系统配置缺陷，提升合规性。
• ​红队/蓝军演练​：通过自定义Yara规则（yaraRules目录）扩展检测能力，模拟高级攻击手法。

五、获取与社区支持

• ​开源地址​：GitHub项目页面
• ​更新动态​：持续迭代中，已发布2.0版本重构代码逻辑，增强基线检查模块。
• ​注意事项​：工具目录中的 yaraRules 可能触发杀软误报，需添加白名单。
• 文件下载：

附录：部分支持的检测规则

威胁类型	主要检测目标
​勒索病毒​	Babuk、Conti、LockBit、WannaCrypt等47种家族
​挖矿程序​	Wannamine、Monero、TrojanCoinMiner等
​僵尸网络​	BlackMoon、Mykings等
​Webshell​	中国菜刀、冰蝎（Behinder）、哥斯拉（Godzilla）等常见工具

------本页内容已结束，喜欢请分享------

感谢您的来访，获取更多精彩文章请收藏本站。