D-Eyes 为 M-SEC 社区出品的一款终端检测与响应工具，可在如下方面开展支撑： 1、作为应急响应工具，支持勒索挖矿病毒及 webshell 等恶意样本排查检测，辅助安全工程师应急响应时排查入侵痕迹，定位恶意样本。 2、作为软件供应链安全检查或 DevSecOps 工具，可提取 web 应用程序开源组件清单（sbom），配合 SCA（如 RyzeSCA），判别引入的组件风险。 技术选型： 1. 使用Go调用Windows系统API提取Windows系统的Application、System、Security三种日志事件信息; 2. 文件扫描模块使用Go的开源组件go-yara利用yara规则检测恶意样本。 3. 使用迭代器和channel机制构建生产者消费者模型，开启多协程扫描目录及子目录下的所有文件。 快速上手： D-Eyes 通过相应的一级指令，支持应急响应、SCA 以及基线检查等场景，更多功能，期待您的建议，社区将评估和纳入发布计划中。 detect 指令：支持应急响应场景，支持 windows 和 linux 系统的入侵排查； sbom 指令：支持 Java、Python、PHP、.Net、NodeJS 等应用的 sbom 分析； benchmark 指令：支持 windows 和 linux 操作系统、常用中间件及数据库的配置缺陷检查，排查隐患。 assets指令：支持给定探测资产目标，或者自动探测和发现周边主机资产及互联网连通性。 默认扫描(默认以 50 个线程扫描脚本当前执行目录) 命令：D-Eyes de fs 指定路径扫描(-P 参数) 单一路径扫描： windows：D-Eyes de fs -p D:\tmp linux：./D-Eyes de fs -p /tmp 多个路径扫描： windows：D-Eyes de fs -p C:\Windows\TEMP,D:\tmp,D:\tools linux：./D-Eyes de fs -p /tmp,/var 指定线程扫描(-t 参数) windows：D-Eyes de fs -p C:\Windows\TEMP,D:\tmp -t 3 linux：./D-Eyes de fs -p /tmp,/var -t 3 指定单一 yara 规则扫描(-r 参数) windows：D-Eyes de fs -p D:\tmp -t 3 -r ./Botnet.Festi.yar linux：./D-Eyes de fs -p /tmp -t 3 -r ./Botnet.Festi.yar