[更新]Linux下應急響應工具whohk v1.1版本

距離上一個版本發(fā)布已經(jīng)將近一年了，原本是自己工作之余搗鼓的一個提高效率的小工具，在這一年中收到了很多反饋，才發(fā)現(xiàn)原來這款工具給挺多人在實際工作中提高 很大的效率，所以這次根據(jù)之前的反饋，進行了一些更新。

上一個版本及使用說明：《whohk，一款強大的linux應急響應輔助工具》

【優(yōu)化】

優(yōu)化了系統(tǒng)類型識別方式

優(yōu)化工具調(diào)用指令

優(yōu)化系統(tǒng)賬號檢查策略

優(yōu)化賬戶敏感歷史命令檢查策略

更新ip離線庫

【新增】

檢查攻擊日期內(nèi)變動的文件（自定義路徑、時間、后綴）

檢查可疑權(quán)限的文件（自定義路徑、后綴、權(quán)限）

1、為什么不更新webshell和惡意軟件的掃描規(guī)則？

答：這些規(guī)則都是基于yara的外置規(guī)則，使用者可以自己隨時修改更新，掃描規(guī)則根據(jù)自己工作中遇到的各種樣本去對應更新就好了。可以參考我另一篇文章《如何打造一款自己的惡意樣本檢測工具》

2、Linux有很多發(fā)行版，支持哪些？

答：支持主流的Linux，包含centos、redhat、ubuntu、debian、opensuse。

3、為什么在github上下載下來是空的？

答：在右側(cè)release區(qū)域下載打包好的文件，而不是clone倉庫。

4、能不能加一個一鍵輸出所有信息的功能？

答：想了想還是沒加，因為很多功能需要自定義參數(shù)，如路徑、時間等，即使設置一個缺省值也是不準確的，應急響應需要精準，需要根據(jù)實際情況去定位問題。

MD5 (whohk) = d2b6652cf294c3b606b198fe1b6ad186

SHA256(whohk)= 36:3b:4d:6a:49:f5:99:2c:1c:02:e5:d6:ac:f7:e8:2f:1c:24:fa:22:bb:71:c5:d3:76:4c:27:9b:7b:5d:72:db

https://github.com/heikanet/whohk

求star～