提取信息：从一键提取或主动输入的netstat -ano中提取网络连接信息。提取所有IP地址：提取所有 IP 地址。提取IP物理位置：查询IP地址的物理位置信息。内容搜索：查询指定的IP/PID等信息。

用户信息：查看系统用户列表，识别常见的异常用户。计划任务：检索系统计划任务，检测其中应用程序的数字签名状态。服务信息：查看系统服务详情，检测其中应用程序的数字签名状态。启动项：查看启动项，检测其中应用程序的数字签名状态。进程信息：查看当前进程列表，检测其中应用程序的数字签名状态。重复进程检测：查看上述中重复存在的应用程序。内容搜索：上述5个模块数据收集完成后，可以查询指定内容。

安全日志：分析登录成功/失败以及其他登录事件。Windows PowerShell 日志：检测异常 PowerShell 命令。自定义文件：加载第三方自定义日志文件(安全日志、PS日志)。RDP登录：列出多次尝试登录的IP信息。内容搜索：日志加载完成后，可以查询指定内容。

IP过滤：根据白名单过滤 IP 地址。IP定位：查询 IP 地址的地理位置。IP段解析：解析 IP 段范围。IP提取并排序：从文本中提取并排序 IP 地址。

在指定路径下搜索包含特定内容的文件，并进行时间排序

哈希修改：修改文件哈希，绕过简单检测。签名复制：复制文件签名，提升可信度。图标提取：提取文件图标，绕过简单识别。图片转 ICO：将图片转换为 ICO格式。

3. ✅WB云沙箱检测截图

MD5：e5a9f6671bcd69f3669a26c168078ac1

⌨网络排查:

通过点击提取信息或主动输入netstat -ano中提取的网络连接信息，可以从中筛选出外连IP，并针对外连IP可以定位物理地址并进行境内/境外的区分，并标记境外IP。

通过内容搜索可以查询指定的内容，如外连IP的PID，或PID对应的外连IP等。点击下一个可以查看多项匹配内容，并进行标记。

🖥主机信息:

请等待数据加载完成后，再切换到其他模块，当数据加载完成，可以通过内容搜索去搜索指定内容

用户信息查看: 可以查看系统中的用户、隐藏用户、异常用户等

计划任务查看:

启动项信息查看:

服务信息查看:

进程信息查看:

重复程序查看:

📋日志分析:

日志类型里选择的安全日志与PowerShell日志是本机系统的，浏览里选择的安全日志和PowerShell日志是加载第三方的，如服务器的

点击加载日志后，请等待日志加载完成，加载过程中不要点击GUI界面！！

• 加载安全日志:
  
  这里日志类型里的是本地系统的安全日志，选择加载日志后可以在常用事件里选择对应的安全事件，这里主推登录成功/登录失败，其他安全事件里的内容可能解析不全

• RDP登录分析结果:
  
  加载本地和第三方安全日志后，可以点击"RDP登录"来查看有哪些IP进行了登录尝试和爆破，以及登录成功

• 加载PowerShell日志:
  
  点击加载日志后，请等待日志加载完成，加载过程中不要点击GUI界面！！ 

PS日志加载完成后，可以右键选择复制指定内容：

• 指定内容搜索:

• 加载第三方日志:
  
  点击"浏览"，选择其他路径下的日志内容，通常是从其他终端/服务器中复制过来的安全日志或PowerShell日志，选择日志后，点击"加载日志"，操作同上：

⚙IP类处理

• IP过滤:

• IP定位
  
  查询 IP 地址的地理位置。

• IP段解析
  
  解析 IP 段范围。

• IP提取并排序
  
  从文本中提取IP地址并进行排序。

🧲文件内容搜索:

在指定路径下搜索包含特定内容的文件，并进行时间排序，在文件路径下选择一条路径右键可以选择`打开所在目录`

免杀辅助:

• 哈希修改：

• 签名复制：
  
  复制文件签名，提升可信度。

• 杀软识别：

• 图标提取：
  
  提取exe文件图标，绕过简单识别。

• 图片转ICO：
  
  将图片转换为 ICO格式。