WinTracePro 是一款面向蓝队分析和应急响应场景的Windows主机溯源工具,旨在简化上手门槛,方便安全从业者进行上机排查。当前版本已支持多种关键事件日志分析,并计划在未来更新中集成内存马检测等高级功能。其核心亮点在于能够结合AI对收集到的事件进行智能分析。
版本 2.0 更新日志
- 问题修复:修复了在非管理员权限下执行
PowerShell命令时报错的10处问题。
- 功能增强:新增用户属性查询与修改功能,可精确定位相关事件ID及变更详情。
- 效率提升:新增一键快速分析,可根据本地数据库自动生成事件摘要。
- 智能分析:新增AI分析模式,工具可利用AI技术依据数据库中各表的时间线进行初步安全分析(建议采用“AI分析+人工复核”的工作流)。
核心功能模块
主机信息模块
- 收集系统信息与网卡配置。
- 获取当前网络连接状态。
- 对网络外联IP进行地理位置查询。
日志分析模块
- 提取Windows应用日志(Application)与安全日志(Security)。
- 支持解析登录成功(事件ID 4624)、登录失败(4625)及防火墙日志等关键安全事件。
- 所有日志将保存至本地的
log.db(SQLite数据库)文件中。
- 提供带分页的UI界面展示,支持点击查看完整日志内容。
- 可通过IP地址或用户名进行模糊查询,快速定位相关记录。对于安全分析师而言,熟练进行Windows日志分析是基础且关键的技能。
计划任务模块
- 提取系统所有计划任务的详细信息,并支持实时刷新。
- 提供任务筛选和模糊查询功能,便于排查可疑的持久化后门。
安全导航模块
集成多个常用在线安全工具入口,如:
- 云沙箱分析
- IP反查与威胁情报
- 网络空间测绘
- 网站备案查询
- 常见编码/解码工具
DeepSeek AI 助手模块
- 支持调用 DeepSeek API。
- 提供上下文聊天功能,可创建、清空或删除会话,辅助分析工作。
IP威胁情报模块
- 调用 Virustotal API 查询IP信誉。
- API请求限制为每分钟4次,每日500次。
- 已标记为恶意的IP地址会以红色高亮显示。
屏幕截图模块
- 一键截取全屏(支持多显示器)。
- 截图自动保存至工具所在目录的
Screenshots 文件夹下。
- 截图完成后会弹窗提示保存的数量及路径。
使用流程
- 以管理员身份启动工具,选择需要分析的日志类型。
- 点击相应按钮执行日志提取操作,数据将存入本地SQLite数据库。
- 在分页界面中浏览日志,可点击单条记录查看完整详情。
- 利用时间筛选或关键字查询功能,缩小分析范围。
系统兼容性
- Windows 10 / 11
- Windows Server 2012 / 2016 / 2019 / 2022
- Windows Server 2008 R2
- Windows Server 2008 (非R2版本,仅支持
Get-EventLog,需升级PowerShell版本)
重要注意事项
- 工具必须以管理员权限运行,否则部分功能无法正常工作。
- 默认配置下会拉取最近7天的日志,用户可在配置中自定义时间范围。
- 首次运行时,工具会自动在当前目录创建必要的
log.db 数据库文件和 config.json 配置文件。
项目地址
工具源代码及最新版本发布地址:https://github.com/Am1azi3ng/WinTracePro | 
发表于 昨天 19:34
|
查看: 6|
回复: 0
