一款轻量便捷的 Windows 应急响应辅助工具

工具介绍

WG-Win-Check 是一款基于原生 Win32 API 实现的轻量级的 Windows 应急响应辅助工具，目前 64 位版本大小仅 600 余Kb，旨在以轻量便捷的特性，通过多维度的系统常规排查，能够有效帮助安全人员快速识别恶意进程、可疑启动项、异常网络连接等安全风险。作者：WenGui

核心功能

用户排查

枚举系统所有用户账户（包括隐藏用户）基础信息、识别克隆账户和异常权限。

进程排查

监控列举系统所有进程，展示基础进程信息字段，支持按进程类型、签名、关键字过滤。提供进程树、DLL 模块、执行文件 hash、在线验证、签名校验以及进程结束操作。

网络连接排查

监控所有 TCP/UDP 连接 ，展示基础连接信息及关联进程，支持按协议、状态、外联、关键字进行快速过滤筛选，提供一键提取所有外联 IP。

启动项排查

扫描系统常见启动项，包括：注册表启动项（Run、RunOnce、RunServices）、启动文件夹、Winlogon 劫持、IFEO（映像劫持）等其他驻留手段。

服务排查

枚举所有系统服务，可基于服务类型、签名、启动类型、服务状态进行过滤，包含签名校验及其他基础风险高亮规则，同时可快捷管理服务。

计划任务排查

列举所有计划任务，展示基础信息包括执行程序、文件路径、运行实际等，支持类型(系统/用户)、运行状态、关键字快速过滤。提供基础计划任务暂停、运行、删除等快捷操作。

文件排查

扫描常见的恶意文件落地目录包括下载、临时目录，过滤常见的恶意文件落地类型，支持自定义扫描路径如微信、飞书文件下载路径的扫描。

事件日志排查

提供常见事件类型包括登录、进程创建、日志清除的排查，以及快速关联打开操作。

威胁检索

基于 IOC 进程内存特征的威胁检索，检索上下文，便于快速定位快速定位可疑进程。

活动痕迹

聚合用户常见活动，解析UserAssist、Prefetch、最近访问、登录等多种活动来源，梳理程序执行、最近访问等活动时间线。

其他特点

• 内置基础风险判定规则，基于规则进行高亮标注，一目了然，便于快速分析定位。

• 原生 Win32 API 实现，无第三方依赖。

• 扫描结果 CSV 导出。

工具下载

下载地址

• Github 下载：https://github.com/SECWG/WG-Win-Check/releases

授权说明

授权中心：https://secwg.com/license-center)获取授权码后方可使用。

文章来源：李白你好

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END