文章总结： WinTracePro是一款面向蓝队及新手的Windows溯源分析工具，支持Win10/Server系统。它具备主机信息获取、日志提取分析、任务调度查看及IP情报查询等功能。2.0版本新增AI一键分析，利用Deepseek对时间线进行智能分析，提升溯源效率。工具免费且需管理员权限运行。 综合评分： 78 文章分类： 安全工具,应急响应,威胁情报,AI安全,终端安全

一款小白都能用的Windows溯源Tools，支持AI一键分析

Am1azi3ng

菜鸟学信安

2025年12月22日 08:30 重庆

介绍

WinTracePro这款工具是为蓝队溯源上机分析准备的，目标是小白就能使用的，目前支持的事件类型还是可以的，后期计划更新上内存马校验功能，目前事件分析可以配合AI去一件分析。

WinTracePro2.0版本

更新内容

• 修复在无管理员权限下执行Powershell报错的bug共计10处
• 新增用户属性查询修改，可以直接定位用户属性的事件id和详情，修改的详细参数
• 新增一键快速分析功能，可9以直接根据数据库生成事件摘要
• 新增根据数据库内容利用AI依据各个表的时间线进行安全分析(建议使用AI分析+人工确认)

授权码

授权码，每月定期更新授权码，工具永不收费，添加授权码为防止工具篡改。

hFhDFYKh6rNTAqjcBJu/Cg==

主机信息模块

• 获取主机信息和网卡信息
• 获取网络连接状态
• 网络外联IP定位

日志分析模块

• 提取 Windows 应用日志（Application Log）
• 提取 Windows 安全日志（Security Log）
• 支持查看登录成功（4624）、登录失败（4625）、防火墙日志等
• 日志保存到 log.db（SQLite 数据库）
• UI 分页展示、点击查看完整内容
• 支持模糊查询快速定位IP和用户

系统支持

• Windows 10/11
• Windows Server 2012/2016/2019/2022
• Windows Server 2008 R2
• Windows Server 2008 非 R2 ，仅支持 Get-EventLog，需升级 PowerShell

任务调度

• 提取定时任务详情，实时刷新
• 支持任务筛选模糊查询

网站导航模块

• 云沙箱、IP反查、威胁情报、空间测绘、网站备案、常见编码解码

DeepseekChatAI模块

• 支持 Deepseek API 调用
• 上下文聊天、会话创建、清空、删除

IP情报查询模块

• 调用 VirtualTools API 查询IP
• 请求率: 每分钟4次，每日500次，每月15.5K次
• 红色标记已打标签IP

截图模块

• 点击“截图”按钮即可截取全屏
• 自动保存到当前目录下的 Screenshots 文件夹
• 支持多显示器同时截图
• 弹窗提示保存的截图数量和保存路径

使用方法

1. 启动工具后选择日志类型
2. 点击按钮执行提取，日志保存到本地数据库
3. 分页浏览日志，点击查看详情
4. 可通过筛选或时间选择缩小范围

注意事项

• 必须以管理员权限运行
• 默认拉取最近7天日志，可自定义
• 首次运行会自动创建 log.db，config.json

项目地址

https://github.com/Am1azi3ng/WinTracePro

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：菜鸟学信安 Am1azi3ng《一款小白都能用的Windows溯源Tools，支持AI一键分析》