封面图加载中

WG-Win-Check 轻量应急辅助工具

一款基于原生 Win32 API 实现的轻量级的 Windows 应急响应辅助工具,以轻量便捷的特性,通过多维度的系统常规排查,能够有效帮助安全人员快速识别安全风险。
  • 本文作者
  • 文章发布日期 2026-01-13 23:20
  • 热度 909
  • 作者心情 不喜不悲
  • 本文共计
  • 预计阅读

简介

WG-Win-Check 是一款基于原生 Win32 API 实现的轻量级的 Windows 应急响应辅助工具,目前 64 位版本大小仅 600+ Kb,旨在以轻量便捷的特性,通过多维度的系统常规排查,能够有效帮助安全人员快速识别恶意进程、可疑启动项、异常网络连接等安全风险。

核心功能

用户排查

枚举系统所有用户账户(包括隐藏用户)基础信息、识别克隆账户和异常权限。

进程排查

监控列举系统所有进程,展示基础进程信息字段,支持按进程类型、签名、关键字过滤。提供进程树、DLL 模块、执行文件 hash、在线验证、签名校验以及进程结束操作。

网络连接排查

监控所有 TCP/UDP 连接 ,展示基础连接信息及关联进程,支持按协议、状态、外联、关键字进行快速过滤筛选,提供一键提取所有外联 IP。

启动项排查

扫描系统常见启动项,包括:注册表启动项(Run、RunOnce、RunServices)、启动文件夹、Winlogon 劫持、IFEO(映像劫持)等其他驻留手段。

服务排查

枚举所有系统服务,可基于服务类型、签名、启动类型、服务状态进行过滤,包含签名校验及其他基础风险高亮规则,同时可快捷管理服务。

计划任务排查

列举所有计划任务,展示基础信息包括执行程序、文件路径、运行实际等,支持类型(系统/用户)、运行状态、关键字快速过滤。提供基础计划任务暂停、运行、删除等快捷操作。

文件排查

扫描常见的恶意文件落地目录包括下载、临时目录,过滤常见的恶意文件落地类型,支持自定义扫描路径如微信、飞书文件下载路径的扫描。

事件日志排查

提供常见事件类型包括登录、进程创建、日志清除的排查,以及快速关联打开操作。

威胁检索

基于 IOC 进程内存特征的威胁检索,检索上下文,便于快速定位快速定位可疑进程。

活动痕迹

聚合用户常见活动,解析UserAssist、Prefetch、最近访问、登录等多种活动来源,梳理程序执行、最近访问等活动时间线。

系统要求

  • 操作系统:Windows 10 / 11,目前仅两个系统进行测试,原则上其他版本皆可支持。

  • 架构:目前仅 x64。

  • 权限:建议以管理员权限运行,否则影响扫描结果以及部分功能。

  • 依赖:无需安装任何运行库,开箱即用。

获取方式

更新日志

v1.5.0 (2026-05-31)

  1. 【移除】移除授权相关校验措施

  2. 【新增】文件排查新增"扫描配置"按钮统一管理扫描范围和文件类型,文件排查新增排除过滤输入框

  3. 【新增】服务排查新增关联运行进程PID字段

  4. 【新增】网络排查右键新增"在线查询"跳转

  5. 【优化】打开文件位置修复含引号路径无法解析的问题

  6. 【其他】其他细节优化/修复

v1.4.0 (2026-04-06)

  1. 【新增】事件日志优化提取逻辑,新增 PS-400查询,rdp-1024-出站服务器IP字段提取修复

  2. 【新增】网络排查新增"内网"复选框,外连模式下可选择是否显示内网 IP

  3. 【新增】关于页面新增"检查更新"功能,便于手动检测最新版本

  4. 【新增】威胁检索新增"内存限制(MB)"输入框,支持自定义单区域扫描上限

  5. 【新增】文件排查默认扫描目录新增 C:\inetpub

  6. 【优化】进程、服务、计划任务模块刷新按钮保留当前过滤状态,不再重置筛选条件

  7. 【优化】授权机制更新,适配最新授权机制

  8. 【优化】软件安装记录改为通过关联目录获取安装时间,提升准确性,排除噪声项目

  9. 【其他】其他细节优化/修复

v1.3.0 (2026-03-01)

  1. 【修复】修复低版本prefech解析问题

  2. 【优化】优化部分签名高亮规则,减少非必要噪声

  3. 【优化】授权窗口新增“授权中心”,移除非必要“浏览文件”功能

  4. 【优化】其他细节优化

v1.2.0 (2026-02-08)

  1. 【新增】活动痕迹模块:聚合用户常见活动痕迹,包括UserAssist、Prefetch、最近访问、登录等活动,梳理活动时间线

  2. 【新增】事件日志新增 杀软检出 查询

  3. 【优化】其他细节优化

  4. 【修复】修复右键异常刷新,过滤状态重置BUG

v1.1.0 (2026-01-31)

  1. 【新增】文件排查模块新增时间排序逻辑,新增自定义后缀扫描

  2. 【优化】取消部分非必要风险判定规则,优化风险描述字段

  3. 【优化】优化部分默认过滤规则,新增其他关键字段过滤

  4. 【优化】网络排查模块移除“UDP”与“其他”复选框的误关联

  5. 【修复】修复自启动模块右键菜单点击误刷新,事件日志模块修复右键失效问题

v1.0.0 (2025-01-18)

✨ 首次发布:

  1. 用户排查 - 枚举系统用户账户,识别隐藏用户和克隆账户

  2. 进程排查 - 监控系统进程,进程树查看、DLL分析、签名验证和在线威胁查询,标注可疑进程

  3. 网络连接排查 - 监控TCP/UDP连接,快速过滤方式

  4. 启动项排查 - 全面扫描注册表启动项、启动文件夹、IFEO劫持等多种启动方式

  5. 服务排查 - 枚举系统服务,标注可疑服务

  6. 计划任务排查 - 扫描系统计划任务,显示任务状态、触发器和执行程序

  7. 文件排查 - 扫描指定目录常见落地文件类型,内置常见威胁落地目录+自定义路径扫描

  8. 事件日志排查 - 分析Windows安全事件日志,筛选登录失败、权限提升等关键事件

  9. 威胁检索 - 基于进程内存特征的威胁检索,快速定位威胁进程