D-Eyes 为 M-SEC 社区出品的一款终端检测与响应工具，可在如下方面开展支撑：1、作为应急响应工具，支持勒索挖矿病毒及 webshell 等恶意样本排查检测，辅助安全工程师应急响应时排查入侵痕迹，定位恶意样本。2、作为软件供应链安全检查或 DevSecOps 工具，可提取 web 应用程序开源组件清单（sbom），配合 SCA（如 RyzeSCA），判别引入的组件风险。技术选型：1. 使用Go调用Windows系统API提取Windows系统的Application、System、Security三种日志事件信息;2. 文件扫描模块使用Go的开源组件go-yara利用yara规则检测恶意样本。3. 使用迭代器和channel机制构建生产者消费者模型，开启多协程扫描目录及子目录下的所有文件。快速上手：D-Eyes 通过相应的一级指令，支持应急响应、SCA 以及基线检查等场景，更多功能，期待您的建议，社区将评估和纳入发布计划中。detect 指令：支持应急响应场景，支持 windows 和 linux 系统的入侵排查；sbom 指令：支持 Java、Python、PHP、.Net、NodeJS 等应用的 sbom 分析；benchmark 指令：支持 windows 和 linux 操作系统、常用中间件及数据库的配置缺陷检查，排查隐患。assets指令：支持给定探测资产目标，或者自动探测和发现周边主机资产及互联网连通性。默认扫描(默认以 50 个线程扫描脚本当前执行目录)命令：D-Eyes de fs指定路径扫描(-P 参数)单一路径扫描： windows：D-Eyes de fs -p D:\tmp linux：./D-Eyes de fs -p /tmp 多个路径扫描： windows：D-Eyes de fs -p C:\Windows\TEMP,D:\tmp,D:\tools linux：./D-Eyes de fs -p /tmp,/var指定线程扫描(-t 参数)windows：D-Eyes de fs -p C:\Windows\TEMP,D:\tmp -t 3 linux：./D-Eyes de fs -p /tmp,/var -t 3指定单一 yara 规则扫描(-r 参数)windows：D-Eyes de fs -p D:\tmp -t 3 -r ./Botnet.Festi.yar linux：./D-Eyes de fs -p /tmp -t 3 -r ./Botnet.Festi.yar