工具项目
BurpSuite明动插件
资产安全巡检平台项目
Nuclei漏扫图形化工具
Nuclei POC辅助编写
分布式资产测绘监控
POC漏检模板管理工具
POC管理与漏检工具
Java幽灵比特位绕过神器
一键扒光虚拟机所有密码
Java内存马生成网页版
263+上传漏检绕过工具
ID注册查询社工利器
Linux后渗透利用神器
全能攻防协议连接神器
聚合多源情报推送监控
应用敏感信息提取神器
分布式资产扫描平台
交互式载荷生成平台
Java审计的瑞士军刀
容器镜像集群扫描器
渗透命令全速查平台
AI驱动日志安全分析系统
AI流量抓包解密利器
BurpSuite26.4专业稳定版
小程序一键反编译带挖掘
渗透测试引导工具箱
一键提取加载分析JS插件
DLL代理与侧载生成器
K8s攻击路径测绘引擎
JS安全分析提取工具
蓝队分析研判工具箱
内存取证可视化工具
小程序安全调试工具
敏感信息提取扫描神器
云安全AK/SK泄露利用工具
Java反序列化GUI工具
HackingTool终端工具箱
可视化未授权访问漏测工具
轻量化红队渗透工具箱
WX小程序安全审计Skill
C#安全内网渗透工具集
JS只能解密渗透测试框架
Linux本地提权通杀项目
自动化信息泄露侦察工具
用户账户调查情报工具
基于API探测路径BP插件
红队自动化巡航扫描框架
OpenArk响应逆向工具箱
自动化泄露资产测绘工具
API接口自动化测试工具
网络设备基线排查工具
LLM大模型红队测试框架
JX逆向发调试浏览器插件
反蜜罐反溯源浏览器插件
DudeSuite渗透测试工具
Yakit增加AI自动FUZZ
安全渗透测试工具箱
Linux本地提权集合版
Python逆向工程集成工具
AI渗透测试蜂群项目
免杀致盲底层驱动BYOVD
一键挖掘敏感信息泄露
Jeecg综合漏洞利用工具
内网扫描服务探测工具
BP短信辅助绕过插件
Java内存马检测工具
Burp/Yakit平替抓包项目
WIN系统红队Rootkit项目
WIN系统红队Rootkit项目2
AI大模型设备安全基线排查
网络安全扫描分析平台
桌面化安全测试工具集
K8s综合渗透测试工具
Chrome扩展页面资产梳理
Shiro漏洞利用增强版
端口进程应急管理工具
自动化信息泄露侦察工具
渗透测试利器安全平台
WAF检测与绕过工具
Skills网络安全技能库
综合渗透测试工具集
全网搜索用户社工利器
自研新型C2(LeekShell)
Skill供应链扫描神器
蓝队进程内存扫描工具
快速查找设备应用弱口令
AI驱动后渗透综合平台
魔改版FScan扫描器
数据库敏感信息检索工具
开源攻击管理利用系统
QQ小程序攻击面分析工具
SRC众测挖掘Skill流程
萤火WIN应急响应工具
2026浏览器安全插件
小迪安全知识库
-
+
首页
萤火WIN应急响应工具
萤火WIN应急响应工具
# 萤火应急响应工具 项目地址:https://github.com/11firefly11/yinghuo [](https://github.com/11firefly11/yinghuo/tree/main#%E8%90%A4%E7%81%AB%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%E5%B7%A5%E5%85%B7) `萤火应急响应工具` 是一个面向 Windows 主机应急响应场景的轻量化图形客户端。工具核心目标是把现场常用的账号、进程、网络、持久化、日志、文件取证、报告输出和辅助工具箱整合到一个可双击运行的客户端里,帮助应急人员快速完成“采集证据、提取异常、辅助处置、输出报告”的闭环。 ## 界面预览 [](https://github.com/11firefly11/yinghuo/tree/main#%E7%95%8C%E9%9D%A2%E9%A2%84%E8%A7%88) ### 应急总览 [](https://github.com/11firefly11/yinghuo/tree/main#%E5%BA%94%E6%80%A5%E6%80%BB%E8%A7%88) [](https://github.com/11firefly11/yinghuo/blob/main/docs/images/firefly-overview.png) ### 网络连接 [](https://github.com/11firefly11/yinghuo/tree/main#%E7%BD%91%E7%BB%9C%E8%BF%9E%E6%8E%A5) [](https://github.com/11firefly11/yinghuo/blob/main/docs/images/firefly-network.png) ### 持久化排查 [](https://github.com/11firefly11/yinghuo/tree/main#%E6%8C%81%E4%B9%85%E5%8C%96%E6%8E%92%E6%9F%A5) [](https://github.com/11firefly11/yinghuo/blob/main/docs/images/firefly-persistence.png) ### 进程清除 [](https://github.com/11firefly11/yinghuo/tree/main#%E8%BF%9B%E7%A8%8B%E6%B8%85%E9%99%A4) [](https://github.com/11firefly11/yinghuo/blob/main/docs/images/firefly-processes.png) ### 日志分析 [](https://github.com/11firefly11/yinghuo/tree/main#%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90) [](https://github.com/11firefly11/yinghuo/blob/main/docs/images/firefly-logs.png) ### 账号审计 [](https://github.com/11firefly11/yinghuo/tree/main#%E8%B4%A6%E5%8F%B7%E5%AE%A1%E8%AE%A1) [](https://github.com/11firefly11/yinghuo/blob/main/docs/images/firefly-accounts.png) ### 文件取证 [](https://github.com/11firefly11/yinghuo/tree/main#%E6%96%87%E4%BB%B6%E5%8F%96%E8%AF%81) [](https://github.com/11firefly11/yinghuo/blob/main/docs/images/firefly-files.png) ### 应急工具箱 [](https://github.com/11firefly11/yinghuo/tree/main#%E5%BA%94%E6%80%A5%E5%B7%A5%E5%85%B7%E7%AE%B1) [](https://github.com/11firefly11/yinghuo/blob/main/docs/images/firefly-tools.png) ### 系统设置与 AI 审计 [](https://github.com/11firefly11/yinghuo/tree/main#%E7%B3%BB%E7%BB%9F%E8%AE%BE%E7%BD%AE%E4%B8%8E-ai-%E5%AE%A1%E8%AE%A1) [](https://github.com/11firefly11/yinghuo/blob/main/docs/images/firefly-settings.png) ## 核心能力 [](https://github.com/11firefly11/yinghuo/tree/main#%E6%A0%B8%E5%BF%83%E8%83%BD%E5%8A%9B) * 单文件 Windows 客户端:`release\萤火应急响应工具.exe` 可直接双击运行,前端资源已嵌入 Go 后端。 * 本地化采集:所有采集接口默认运行在本机 `127.0.0.1`,用于客户端 UI 调用。 * 图形化模块:左侧为应急响应模块导航,右侧展示结构化摘要、异常发现、完整响应和处置入口。 * 并发采集:智能排查任务按模块并行执行,完成后汇总结果并生成 HTML 报告。 * 异常提取:从进程、外联、DNS、路由、启动项、计划任务、服务、WMI、日志、账号、文件落地等数据中提取可疑点。 * 完整响应:每个模块都保留原始响应入口,便于复核命令输出和证据链。 * 右键定位:网络连接、持久化、文件取证等包含路径的行支持右键选择“打开所在目录”。 * 处置辅助:支持进程结束、计划任务删除、服务删除、注册表启动项删除、WMI 订阅删除、启动目录文件备份后删除。 * AI 审计:可配置 BaseURL、API Key、模型,让外部大模型基于当前采集证据生成审计结论和 HTML 报告。 * 应急工具箱:集成火绒剑、D盾、Arthas 内存马查杀、银狐查杀、Everything 文件搜索等工具入口。 ## Windows 客户端模块 [](https://github.com/11firefly11/yinghuo/tree/main#windows-%E5%AE%A2%E6%88%B7%E7%AB%AF%E6%A8%A1%E5%9D%97) ### 1\. 应急总览 [](https://github.com/11firefly11/yinghuo/tree/main#1-%E5%BA%94%E6%80%A5%E6%80%BB%E8%A7%88) 总览页用于发起一键智能排查、设置输出目录、回溯天数、事件上限和超时时间。页面会汇总高危发现、可疑进程、中低风险、排查阶段和专家补充建议。 重点用途: * 快速启动全量排查。 * 查看当前发现数量和风险趋势。 * 进入完整响应和 HTML 报告。 * 在未发现明确异常时给出下一步复核方向。 ### 2\. 主机排查 [](https://github.com/11firefly11/yinghuo/tree/main#2-%E4%B8%BB%E6%9C%BA%E6%8E%92%E6%9F%A5) 主机排查关注系统基础信息和运行环境,包括: * 当前用户、权限、用户组和特权。 * Windows 产品名称、版本、构建号、架构、域信息、时区。 * IP 配置、系统信息、补丁和基础环境。 * 作为后续账号、进程、网络、日志关联分析的基线。 ### 3\. 进程清除 [](https://github.com/11firefly11/yinghuo/tree/main#3-%E8%BF%9B%E7%A8%8B%E6%B8%85%E9%99%A4) 进程模块展示进程列表、PID、PPID、进程名、路径、命令行、启动时间、CPU、内存、签名状态、厂商、风险等级和原因。 支持能力: * 按关键字搜索进程。 * 按风险等级过滤。 * 点击列头排序。 * 双击进程查看详细信息。 * 普通结束或强制结束进程树。 * 对临时目录执行、AppData 执行、EncodedCommand、脚本宿主、LOLBin、系统进程伪装等行为做风险提示。 使用建议: * 清除进程前先记录 PID、PPID、路径、命令行、父子关系、外联 IP 和相关持久化项。 * 如果进程存在服务、计划任务、WMI、注册表启动项等复活机制,应先定位持久化来源再清除。 ### 4\. 网络连接 [](https://github.com/11firefly11/yinghuo/tree/main#4-%E7%BD%91%E7%BB%9C%E8%BF%9E%E6%8E%A5) 网络模块会读取 TCP 连接、监听端口、DNS 缓存、DNS 服务器、路由表、代理配置和进程 DLL 信息。 重点展示: * 外联连接数量和外联 IP 数量。 * 同一 PID 的多个外联 IP 会聚合展示,可展开查看全部外联 IP。 * 每条外联关联 PID、进程名、进程路径、命令行和风险原因。 * DNS、代理、路由配置单独标记,避免把常见公共 DNS 简单误判为异常。 * 对外部 ESTABLISHED 连接、异常监听端口、代理篡改、持久路由等做提示。 常见研判思路: * 外联 IP 是否属于业务系统、云厂商、CDN、公共 DNS 或常见软件服务。 * 外联进程路径是否位于系统目录、程序安装目录、临时目录、用户目录或下载目录。 * 外联进程是否具备签名,签名厂商是否可信。 * 是否存在同一进程短时间连接多个陌生 IP、异常端口或可疑域名。 ### 5\. 持久化排查 [](https://github.com/11firefly11/yinghuo/tree/main#5-%E6%8C%81%E4%B9%85%E5%8C%96%E6%8E%92%E6%9F%A5) 持久化模块覆盖注册表启动项、计划任务、系统服务、WMI 永久订阅和启动目录文件。 采集范围: * `HKLM/HKCU Run`、`RunOnce`、`WOW6432Node Run`、`Winlogon`。 * 计划任务及其执行程序、参数、作者、状态、上次运行和下次运行时间。 * 系统服务和驱动,包括名称、显示名、状态、启动类型、运行账户、路径、签名和厂商。 * WMI `__EventFilter`、`__EventConsumer`、`__FilterToConsumerBinding`。 * 用户和系统启动目录文件。 处置能力: * 删除计划任务。 * 删除系统服务。 * 删除注册表启动项。 * 删除 WMI 永久订阅。 * 启动目录文件先备份到 `%TEMP%\ir-deleted-backup` 后删除。 风险关注点: * 指向临时目录、下载目录、用户目录、隐藏路径的启动项。 * 使用 `powershell/cmd/mshta/rundll32/regsvr32/certutil/bitsadmin/wscript/cscript` 的计划任务。 * 服务路径未加引号、非标准目录服务、无签名服务、异常启动账户。 * WMI 过滤器和消费者组合形成的无文件持久化。 ### 6\. 日志分析 [](https://github.com/11firefly11/yinghuo/tree/main#6-%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90) 日志模块对 Windows 关键事件进行结构化聚合。日志数量较多时刷新可能需要十几秒到数分钟,界面出现“日志事件已刷新”并显示总数后再截图或生成报告。 覆盖事件: * 登录成功:`4624`、`4648`、`4672`、`4778`。 * 登录失败:`4625`、`4771`、`4776`、`4779`。 * RDP 登录/连接:终端服务相关事件。 * 服务创建:`7045`。 * 进程创建:`4688`。 * 账号操作:`4720`、`4722`、`4723`、`4724`、`4725`、`4726`、`4728`、`4729`、`4732`、`4733`、`4738`、`4740`。 * 日志服务关闭:`1100`、`6006`。 * 审计日志清除:`1102`。 * PowerShell:`4103`、`4104` 等。 界面会提取时间、事件 ID、登录类型、源 IP、端口、用户名、日志源、摘要和风险级别。完整响应中可筛选 GET、POST 和自定义关键字,便于查看 Web 日志和原始输出。 ### 7\. 账号审计 [](https://github.com/11firefly11/yinghuo/tree/main#7-%E8%B4%A6%E5%8F%B7%E5%AE%A1%E8%AE%A1) 账号审计模块列出本地用户、管理员组成员、登录时间、密码设置时间、SID、启用状态、管理员状态和隐藏用户标记。 重点关注: * 用户名以 `$` 结尾的隐藏账户。 * 非预期管理员组成员。 * 最近新增、启用、禁用、删除或修改密码的账号。 * SID 异常、克隆账号、长期未登录但突然活跃的账号。 * 远程登录来源 IP 和登录类型。 ### 8\. 文件取证 [](https://github.com/11firefly11/yinghuo/tree/main#8-%E6%96%87%E4%BB%B6%E5%8F%96%E8%AF%81) 文件取证模块用于快速定位落地样本、脚本、WebShell、ADS 和执行痕迹。 分类包括: * 临时目录文件。 * 下载目录文件。 * 近期可执行文件和脚本。 * Prefetch 执行痕迹。 * NTFS ADS 备用数据流。 * Web 日志关键命中。 常见排查方向: * `.exe/.dll/.ps1/.vbs/.js/.bat/.cmd/.jsp/.php/.aspx` 等文件。 * 最近修改时间集中在入侵窗口附近的文件。 * 文件名伪装系统进程、双扩展名、隐藏属性或异常路径。 * Prefetch 中已执行但源文件被删除的程序。 ### 9\. 报告中心 [](https://github.com/11firefly11/yinghuo/tree/main#9-%E6%8A%A5%E5%91%8A%E4%B8%AD%E5%BF%83) 报告中心用于输出静态 HTML 应急响应报告。 报告内容包括: * 系统概览。 * 风险发现。 * 模块摘要。 * 原始命令输出。 * 可疑证据片段。 * 清除建议。 * AI 审计结果。 * GET/POST/自定义筛选能力。 报告适合归档、复盘和交付。生成报告前建议先完成一次智能排查,并根据实际业务白名单复核关键风险项。
xiaodi
2026年6月26日 15:27
18
0 条评论
转发
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
分享
链接
类型
密码
更新密码
有效期
Markdown文件
Word文件
PDF文档
PDF文档(打印)