文章总结： 萤火应急响应工具是一款面向Windows主机的轻量化图形客户端，整合了账号审计、进程清除、网络连接分析、持久化排查、日志分析等模块，支持一键智能排查、异常提取、处置辅助和AI审计功能，可生成HTML报告并集成火绒剑等第三方工具，适用于应急响应场景下的证据采集和快速处置。 综合评分： 85 文章分类： 应急响应,安全工具,终端安全,安全运营,Windows安全

---

AI赋能！一个面向 Windows 主机应急响应场景的轻量化图形客户端

firefly firefly

夜组安全

2026年6月24日 07:30 甘肃

在小说阅读器读本章

去阅读

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！所有工具安全性自测！！！VX：NightCTI

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把夜组安全“设为星标”，否则可能就看不到了啦！

工具介绍

萤火应急响应工具 是一个面向 Windows 主机应急响应场景的轻量化图形客户端，作者标识为 by: firefly，当前版本 1.0。工具核心目标是把现场常用的账号、进程、网络、持久化、日志、文件取证、报告输出和辅助工具箱整合到一个可双击运行的客户端里，帮助应急人员快速完成“采集证据、提取异常、辅助处置、输出报告”的闭环。

界面预览

应急总览

网络连接

持久化排查

进程清除

日志分析

账号审计

文件取证

应急工具箱

系统设置与 AI 审计

核心能力

• 单文件 Windows 客户端：release\萤火应急响应工具.exe 可直接双击运行，前端资源已嵌入 Go 后端。
• 本地化采集：所有采集接口默认运行在本机 127.0.0.1，用于客户端 UI 调用。
• 图形化模块：左侧为应急响应模块导航，右侧展示结构化摘要、异常发现、完整响应和处置入口。
• 并发采集：智能排查任务按模块并行执行，完成后汇总结果并生成 HTML 报告。
• 异常提取：从进程、外联、DNS、路由、启动项、计划任务、服务、WMI、日志、账号、文件落地等数据中提取可疑点。
• 完整响应：每个模块都保留原始响应入口，便于复核命令输出和证据链。
• 右键定位：网络连接、持久化、文件取证等包含路径的行支持右键选择“打开所在目录”。
• 处置辅助：支持进程结束、计划任务删除、服务删除、注册表启动项删除、WMI 订阅删除、启动目录文件备份后删除。
• AI 审计：可配置 BaseURL、API Key、模型，让外部大模型基于当前采集证据生成审计结论和 HTML 报告。
• 应急工具箱：集成火绒剑、D盾、Arthas 内存马查杀、银狐查杀、Everything 文件搜索等工具入口。

Windows 客户端模块

1. 应急总览

总览页用于发起一键智能排查、设置输出目录、回溯天数、事件上限和超时时间。页面会汇总高危发现、可疑进程、中低风险、排查阶段和专家补充建议。

重点用途：

• 快速启动全量排查。
• 查看当前发现数量和风险趋势。
• 进入完整响应和 HTML 报告。
• 在未发现明确异常时给出下一步复核方向。

2. 主机排查

主机排查关注系统基础信息和运行环境，包括：

• 当前用户、权限、用户组和特权。
• Windows 产品名称、版本、构建号、架构、域信息、时区。
• IP 配置、系统信息、补丁和基础环境。
• 作为后续账号、进程、网络、日志关联分析的基线。

3. 进程清除

进程模块展示进程列表、PID、PPID、进程名、路径、命令行、启动时间、CPU、内存、签名状态、厂商、风险等级和原因。

支持能力：

• 按关键字搜索进程。
• 按风险等级过滤。
• 点击列头排序。
• 双击进程查看详细信息。
• 普通结束或强制结束进程树。
• 对临时目录执行、AppData 执行、EncodedCommand、脚本宿主、LOLBin、系统进程伪装等行为做风险提示。

使用建议：

• 清除进程前先记录 PID、PPID、路径、命令行、父子关系、外联 IP 和相关持久化项。
• 如果进程存在服务、计划任务、WMI、注册表启动项等复活机制，应先定位持久化来源再清除。

4. 网络连接

网络模块会读取 TCP 连接、监听端口、DNS 缓存、DNS 服务器、路由表、代理配置和进程 DLL 信息。

重点展示：

• 外联连接数量和外联 IP 数量。
• 同一 PID 的多个外联 IP 会聚合展示，可展开查看全部外联 IP。
• 每条外联关联 PID、进程名、进程路径、命令行和风险原因。
• DNS、代理、路由配置单独标记，避免把常见公共 DNS 简单误判为异常。
• 对外部 ESTABLISHED 连接、异常监听端口、代理篡改、持久路由等做提示。

常见研判思路：

• 外联 IP 是否属于业务系统、云厂商、CDN、公共 DNS 或常见软件服务。
• 外联进程路径是否位于系统目录、程序安装目录、临时目录、用户目录或下载目录。
• 外联进程是否具备签名，签名厂商是否可信。
• 是否存在同一进程短时间连接多个陌生 IP、异常端口或可疑域名。

5. 持久化排查

持久化模块覆盖注册表启动项、计划任务、系统服务、WMI 永久订阅和启动目录文件。

采集范围：

• HKLM/HKCU Run、RunOnce、WOW6432Node Run、Winlogon。
• 计划任务及其执行程序、参数、作者、状态、上次运行和下次运行时间。
• 系统服务和驱动，包括名称、显示名、状态、启动类型、运行账户、路径、签名和厂商。
• WMI __EventFilter、__EventConsumer、__FilterToConsumerBinding。
• 用户和系统启动目录文件。

处置能力：

• 删除计划任务。
• 删除系统服务。
• 删除注册表启动项。
• 删除 WMI 永久订阅。
• 启动目录文件先备份到 %TEMP%\ir-deleted-backup 后删除。

风险关注点：

• 指向临时目录、下载目录、用户目录、隐藏路径的启动项。
• 使用 powershell/cmd/mshta/rundll32/regsvr32/certutil/bitsadmin/wscript/cscript 的计划任务。
• 服务路径未加引号、非标准目录服务、无签名服务、异常启动账户。
• WMI 过滤器和消费者组合形成的无文件持久化。

6. 日志分析

日志模块对 Windows 关键事件进行结构化聚合。日志数量较多时刷新可能需要十几秒到数分钟，界面出现“日志事件已刷新”并显示总数后再截图或生成报告。

覆盖事件：

• 登录成功：4624、4648、4672、4778。
• 登录失败：4625、4771、4776、4779。
• RDP 登录/连接：终端服务相关事件。
• 服务创建：7045。
• 进程创建：4688。
• 账号操作：4720、4722、4723、4724、4725、4726、4728、4729、4732、4733、4738、4740。
• 日志服务关闭：1100、6006。
• 审计日志清除：1102。
• PowerShell：4103、4104 等。

界面会提取时间、事件 ID、登录类型、源 IP、端口、用户名、日志源、摘要和风险级别。完整响应中可筛选 GET、POST 和自定义关键字，便于查看 Web 日志和原始输出。

7. 账号审计

账号审计模块列出本地用户、管理员组成员、登录时间、密码设置时间、SID、启用状态、管理员状态和隐藏用户标记。

重点关注：

• 用户名以 $ 结尾的隐藏账户。
• 非预期管理员组成员。
• 最近新增、启用、禁用、删除或修改密码的账号。
• SID 异常、克隆账号、长期未登录但突然活跃的账号。
• 远程登录来源 IP 和登录类型。

8. 文件取证

文件取证模块用于快速定位落地样本、脚本、WebShell、ADS 和执行痕迹。

分类包括：

• 临时目录文件。
• 下载目录文件。
• 近期可执行文件和脚本。
• Prefetch 执行痕迹。
• NTFS ADS 备用数据流。
• Web 日志关键命中。

常见排查方向：

• .exe/.dll/.ps1/.vbs/.js/.bat/.cmd/.jsp/.php/.aspx 等文件。
• 最近修改时间集中在入侵窗口附近的文件。
• 文件名伪装系统进程、双扩展名、隐藏属性或异常路径。
• Prefetch 中已执行但源文件被删除的程序。

9. 报告中心

报告中心用于输出静态 HTML 应急响应报告。

报告内容包括：

• 系统概览。
• 风险发现。
• 模块摘要。
• 原始命令输出。
• 可疑证据片段。
• 清除建议。
• AI 审计结果。
• GET/POST/自定义筛选能力。

报告适合归档、复盘和交付。生成报告前建议先完成一次智能排查，并根据实际业务白名单复核关键风险项。

10. 应急工具箱

工具箱用于集成现场常用工具，点击卡片即可启动或打开目录。

当前集成：

| 工具 | 场景 | 默认入口 | | — | — | — | | 火绒剑 | 进程、驱动、句柄、启动项、网络连接深度排查 | 应急工具\火绒5.0独立版\SecAnalysis.exe | | D盾 | WebShell、隐藏账号、克隆账号、IIS 安全检查 | d盾\D_Safe_Manage.exe | | Arthas 内存马查杀 | Java 进程、ClassLoader、Filter/Servlet 内存马排查 | arthas-内存马查杀工具 | | 银狐查杀 | 银狐木马、远控木马、异常落地文件专项查杀 | 银狐查杀\银狐查杀.exe | | Everything 文件搜索 | 快速搜索可疑样本、WebShell、脚本和落地文件 | Everything\everything.exe |

工具箱会优先从统一目录 应急工具 查找这些工具，同时兼容旧版平铺工具目录。核心客户端是单文件 exe，工具箱中的第三方工具属于可选外部工具，只有放在约定目录下才会显示可用。

11. 系统设置与 AI 审计

系统设置中可以配置：

• 输出目录。
• 回溯天数，默认留空表示查询全部可查询日志。
• 事件上限。
• 单任务超时。
• AI BaseURL。
• AI API Key。
• AI 模型。

AI 审计使用内置提示词，不在 UI 中展示。AI 会基于已采集的网络连接、进程、日志、账号、启动项、服务、计划任务、WMI、文件取证等证据进行综合研判，并输出 AI 审计 HTML 报告。

建议 AI 审计关注：

• 是否存在后门账号、隐藏账号、克隆账号。
• 是否存在 C2 外联、异常端口、异常代理、异常路由。
• 是否存在无签名或伪装系统进程。
• 是否存在计划任务、服务、WMI、注册表启动项等持久化。
• 是否存在日志清除、PowerShell 下载执行、EncodedCommand、横向移动和 WebShell 痕迹。
• 区分确认风险、高度可疑、需白名单确认、可能误报和证据不足。

工具获取

点击关注下方名片进入公众号

回复关键字【260624】获取下载链接

往期精彩

[OpenCode CNVD 多 Agent 插件 | 用于授权场景下的 CNVD 漏洞挖掘

2026-06-23

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497103&idx=1&sn=6f70d409f0a09b65704ae3c5ad0ec1b2&scene=21#wechatredirect)[给 AI 渗透助手装上”安全带”——不锁油门，只锁刹车 | AI Agent 在渗透测试场景下既能放手测试，又不会脱库、删库、留后门

2026-06-22

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497098&idx=1&sn=24d2652b28344d79c36f49e36d448e81&scene=21#wechatredirect)[Burp Suite 验证码 DOS 漏洞检测插件 | 利用验证码图片的隐藏尺寸参数进行DDos攻击

2026-06-18

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497092&idx=1&sn=743fa6c182c96e780344513bdb5192b3&scene=21#wechatredirect)[以一烛之光，照见隐秘  | 主动指纹嗅探、威胁情报检索、编解码加解密、JS加密绕过Web爆破

2026-06-17

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497078&idx=1&sn=73061cd0c05b3c8b40cb2c81a78c553e&scene=21#wechatredirect)[牛逼！AI 驱动的后渗透综合管理平台，深度集成 LLM Agent，175 个工具 + 21 个技能，开箱即用。

2026-06-16

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497040&idx=1&sn=bb0d6936f648c2ffe72f92009c3035be&scene=21#wechatredirect)

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜组安全 firefly firefly《AI赋能！一个面向 Windows 主机应急响应场景的轻量化图形客户端》