[更新]Linux下應(yīng)急響應(yīng)工具whohk v1.1版本

距離上一個(gè)版本發(fā)布已經(jīng)將近一年了，原本是自己工作之余搗鼓的一個(gè)提高效率的小工具，在這一年中收到了很多反饋，才發(fā)現(xiàn)原來這款工具給挺多人在實(shí)際工作中提高 很大的效率，所以這次根據(jù)之前的反饋，進(jìn)行了一些更新。

上一個(gè)版本及使用說明：《whohk，一款強(qiáng)大的linux應(yīng)急響應(yīng)輔助工具》

【優(yōu)化】

優(yōu)化了系統(tǒng)類型識別方式

優(yōu)化工具調(diào)用指令

優(yōu)化系統(tǒng)賬號檢查策略

優(yōu)化賬戶敏感歷史命令檢查策略

更新ip離線庫

【新增】

檢查攻擊日期內(nèi)變動的文件（自定義路徑、時(shí)間、后綴）

檢查可疑權(quán)限的文件（自定義路徑、后綴、權(quán)限）

1、為什么不更新webshell和惡意軟件的掃描規(guī)則？

答：這些規(guī)則都是基于yara的外置規(guī)則，使用者可以自己隨時(shí)修改更新，掃描規(guī)則根據(jù)自己工作中遇到的各種樣本去對應(yīng)更新就好了。可以參考我另一篇文章《如何打造一款自己的惡意樣本檢測工具》

2、Linux有很多發(fā)行版，支持哪些？

答：支持主流的Linux，包含centos、redhat、ubuntu、debian、opensuse。

3、為什么在github上下載下來是空的？

答：在右側(cè)release區(qū)域下載打包好的文件，而不是clone倉庫。

4、能不能加一個(gè)一鍵輸出所有信息的功能？

答：想了想還是沒加，因?yàn)楹芏喙δ苄枰远x參數(shù)，如路徑、時(shí)間等，即使設(shè)置一個(gè)缺省值也是不準(zhǔn)確的，應(yīng)急響應(yīng)需要精準(zhǔn)，需要根據(jù)實(shí)際情況去定位問題。

MD5 (whohk) = d2b6652cf294c3b606b198fe1b6ad186

SHA256(whohk)= 36:3b:4d:6a:49:f5:99:2c:1c:02:e5:d6:ac:f7:e8:2f:1c:24:fa:22:bb:71:c5:d3:76:4c:27:9b:7b:5d:72:db

https://github.com/heikanet/whohk

求star～