[更新]Linux下应急响应工具whohk v1.1版本

前言

距离上一个版本发布已经将近一年了，原本是自己工作之余捣鼓的一个提高效率的小工具，在这一年中收到了很多反馈，才发现原来这款工具给挺多人在实际工作中提高 很大的效率，所以这次根据之前的反馈，进行了一些更新。

上一个版本及使用说明：《whohk，一款强大的linux应急响应辅助工具》

更新日志

【优化】

优化了系统类型识别方式

优化工具调用指令

优化系统账号检查策略

优化账户敏感历史命令检查策略

更新ip离线库

【新增】

检查攻击日期内变动的文件（自定义路径、时间、后缀）

检查可疑权限的文件（自定义路径、后缀、权限）

回答一些问题

1、为什么不更新webshell和恶意软件的扫描规则？

答：这些规则都是基于yara的外置规则，使用者可以自己随时修改更新，扫描规则根据自己工作中遇到的各种样本去对应更新就好了。可以参考我另一篇文章《如何打造一款自己的恶意样本检测工具》

2、Linux有很多发行版，支持哪些？

答：支持主流的Linux，包含centos、redhat、ubuntu、debian、opensuse。

3、为什么在github上下载下来是空的？

答：在右侧release区域下载打包好的文件，而不是clone仓库。

4、能不能加一个一键输出所有信息的功能？

答：想了想还是没加，因为很多功能需要自定义参数，如路径、时间等，即使设置一个缺省值也是不准确的，应急响应需要精准，需要根据实际情况去定位问题。

放两张图

HASH校验

MD5 (whohk) = d2b6652cf294c3b606b198fe1b6ad186

SHA256(whohk)= 36:3b:4d:6a:49:f5:99:2c:1c:02:e5:d6:ac:f7:e8:2f:1c:24:fa:22:bb:71:c5:d3:76:4c:27:9b:7b:5d:72:db

下载地址

https://github.com/heikanet/whohk

求star～