文章总结： WG-Win-Check是一款专为Windows应急响应设计的轻量级辅助工具，基于原生Win32API实现，体积仅600余KB，提供用户、进程、网络、启动项、服务、计划任务、文件、事件日志、威胁检索和活动痕迹等多维度排查功能，内置风险规则高亮可疑项，支持CSV导出。工具需从GitHub下载并获取授权码使用，适用于安全学习交流，但禁止用于非法用途或盈利。 综合评分： 82 文章分类： 应急响应,安全工具,终端安全,恶意软件

一款轻量便捷的 Windows 应急响应辅助工具

黑白之道

2026年3月2日 09:39 山东

工具介绍

WG-Win-Check 是一款基于原生 Win32 API 实现的轻量级的 Windows 应急响应辅助工具，目前 64 位版本大小仅 600 余Kb，旨在以轻量便捷的特性，通过多维度的系统常规排查，能够有效帮助安全人员快速识别恶意进程、可疑启动项、异常网络连接等安全风险。作者：WenGui

核心功能

用户排查

枚举系统所有用户账户（包括隐藏用户）基础信息、识别克隆账户和异常权限。

进程排查

监控列举系统所有进程，展示基础进程信息字段，支持按进程类型、签名、关键字过滤。提供进程树、DLL 模块、执行文件 hash、在线验证、签名校验以及进程结束操作。

网络连接排查

监控所有 TCP/UDP 连接 ，展示基础连接信息及关联进程，支持按协议、状态、外联、关键字进行快速过滤筛选，提供一键提取所有外联 IP。

启动项排查

扫描系统常见启动项，包括：注册表启动项（Run、RunOnce、RunServices）、启动文件夹、Winlogon 劫持、IFEO（映像劫持）等其他驻留手段。

服务排查

枚举所有系统服务，可基于服务类型、签名、启动类型、服务状态进行过滤，包含签名校验及其他基础风险高亮规则，同时可快捷管理服务。

计划任务排查

列举所有计划任务，展示基础信息包括执行程序、文件路径、运行实际等，支持类型(系统/用户)、运行状态、关键字快速过滤。提供基础计划任务暂停、运行、删除等快捷操作。

文件排查

扫描常见的恶意文件落地目录包括下载、临时目录，过滤常见的恶意文件落地类型，支持自定义扫描路径如微信、飞书文件下载路径的扫描。

事件日志排查

提供常见事件类型包括登录、进程创建、日志清除的排查，以及快速关联打开操作。

威胁检索

基于 IOC 进程内存特征的威胁检索，检索上下文，便于快速定位快速定位可疑进程。

活动痕迹

聚合用户常见活动，解析UserAssist、Prefetch、最近访问、登录等多种活动来源，梳理程序执行、最近访问等活动时间线。

其他特点

• 内置基础风险判定规则，基于规则进行高亮标注，一目了然，便于快速分析定位。
• 原生 Win32 API 实现，无第三方依赖。
• 扫描结果 CSV 导出。

工具下载

下载地址

• Github 下载：https://github.com/SECWG/WG-Win-Check/releases

授权说明

授权中心：https://secwg.com/license-center)获取授权码后方可使用。

文章来源：李白你好

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 《一款轻量便捷的 Windows 应急响应辅助工具》