經常在網上下載軟件的朋友，可能會擔心一個問題，經常在新聞或者別人那里看到吐槽說中了病毒什么的，自己怎么就沒有遇到？

會不會是中招了但是自己一直不知道。

又或者是鼠標亂動，按鍵失靈，卻擔心是被人遠程操控了，時常還有各種利用設備挖礦的惡意軟件暴露出來，加上有些朋友喜歡給電腦去除所有的安全軟件，還確實有可能。

除了使用出名的大廠安全軟件，今天我們來看一款小眾的工具——Hawkeye 鷹眼Windows綜合應急響應工具。

它可以用來快速排查電腦上的可疑操作，看看電腦是不是后臺連接了其他人的惡意服務連接，在系統上的奇怪用戶和隱藏賬號，以及登錄日志和服務創建信息等等。

需要用管理員權限打開，打開之后可以用來分析進程，加載的DLL文件。

如果知道電腦里有奇怪的連接IP，或者可疑的地址和曝光出來的惡意服務器地址，就可以用它來查看連接信息。

如果有關聯的持續維持任務也能一起找到，這樣就可以一起處理，避免過段時間和重啟之后又冒出來。

Hawkeye還可以進行Beacon掃描，這個通常是掃不出內容的，如果掃出來異常的內容，那你電腦上很可能有臟東西在等待執行攻擊者的命令，那就比較哈人了。

可以點開下面的圖片簡單了解一下擴展內容。

之后就是主機信息模塊，可以查看賬戶狀態，計劃的任務、服務信息和啟動項，可以查看是否有簽名，這個功能比較常規，需要自己分辨。

看作者項目提供的截圖，有異常似乎也會標注出來，大家可以自己檢查一下。

在日志分析功能下，可以看到系統的登錄情況和錯誤嘗試，如果你的設備接入了公網，就能看到一天到晚都有國內和國外的IP在嘗試登錄，有的一整天都在嘗試。

這時候就要注意把各種密碼設置得嚴格一點，還有做好路由管理和權限驗證等等，如果你在登錄成功的日志里找到了奇怪的IP，那就需要仔細檢查了。

在這里能統一看到服務和用戶賬號的創建日志，比自己去系統里查閱要方便一點，如果有惡意工具沒有擦干凈痕跡，那么可以在這里直接看到。

比較實用的還有就是Hawkeye可以查看Powershell的日志，有些工具會有命令行來執行命令，對于普通用戶也可以用來查看軟件的自動化配置。

像是這個Winhance的任務，是之前體驗軟件時留下來的，過了很久可能自己都忘了，但是它還在自己執行任務，就可以找出來看看電腦里有多少這樣“歷史遺留”的軟件任務。

有了這個小工具，就可以在覺得電腦不正常時掏出來看一下，算是一個小巧的電腦安全輔助查詢工具，而且也不復雜，非常適合普通用戶使用，完成初步分析和排查。