![]()
简介
大家好,《Windows 应急响应手册 v1.2》 发布啦!
本次是一个大更新,解决了两个大问题,添加了4个大的事件处置流程以及一些更新,下载链接在文末
两个大问题是:
- Windows 平台的 Adobe acrobat DC 、Firefox 浏览器、Edge浏览器等打开手册出现无法显示目录、内容为空白等问题
第一个大问题产生的原因是封面添加方式,之前一直是使用 MacOS 自带的预览程序添加的封面,这会导致 MacOS 以外的其他平台部分程序解析出现问题,这也是 Github 上放置项目以后得到的最有价值的反馈,感谢反馈的朋友们,这是直接影响手册效果的大问题,这次我们解决了,解决方法是通过 WPS 添加封面,感谢 WPS
第二个大问题产生的原因是 Typora 的 Mint 主题没有包含中文字体,所以我们通过修改该主题的源代码解决了导出 PDF 无法搜索、复制粘贴乱码的问题
这两个问题对使用之前手册的用户影响太大了,希望大家帮忙多多转发,尽可能将本次更新传递到用户们手里!
Adobe acrobat DC
![]()
![]()
Edge
![]()
![]()
Firefox
![]()
![]()
大家的反馈对这本手册的发展很重要,我们将大家的反馈信息列表放在了下面,我们将下载链接放在文末就是希望大家可以看到提供反馈的用户以及具体反馈的内容,也是我们对于反馈的朋友们的公开回复,感谢大家反馈~
更新日记
v1.2 - 20240710
- 修复了 Windows 平台无法查看目录或显示空白的问题
- 完善了服务程序 -> 11. 进阶性排查 中二进制校验脚本
- 小技巧章节添加了 0x04 查找文件占用小工具 IObit Unlocker
- 远控后门 ->流量检测->地址诱骗章节完善了修改 hosts 部分描述,添加了图片示例
- 添加了日志分析工具 —— FullEventLogView
- 添加了流量监控工具 Netsh、Wireshark
v1.1 - 20240307
v1.0 - 20240203
用户反馈列表
在反馈过程中,除了 Github 上提交的反馈,我们都会询问是否公开反馈者信息,没有取得明确回复可以公开的情况下,以 路人甲 代表
微信公众号无法主动留言,导致部分反馈者没能联系上,朋友们如果看到自己的反馈以 路人甲 代表,可以联系我们修改
1. 寻找恶意样本部分 【文字错误】
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0001 |
| 反馈者 | 路人甲 |
| 反馈时间 | 2024-02-06 11:07 |
| 反馈途径 | 公众号留言 |
| 反馈内容 | 将一下内容改为将以下内容 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-02-06 19:28 |
| 备注信息 |
|
2. 威胁分析部分 【平台名称错误】
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0002 |
| 反馈者 | safefox |
| 反馈时间 | 2024-02-06 17:38 |
| 反馈途径 | 微信 |
| 反馈内容 | 将 PCHunter 修改为安芯网盾未知威胁文件检测系统 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-02-06 19:28 |
| 备注信息 |
|
3. 添加 OpenArk 工具
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0003 |
| 反馈者 | safefox |
| 反馈时间 | 2024-02-06 17:38 |
| 反馈途径 | 微信 |
| 反馈内容 | 考虑添加 OpenArk 工具 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-03-06 17:43 |
| 备注信息 |
|
4. 添加 Defender 日志
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0004 |
| 反馈者 | safefox |
| 反馈时间 | 2024-02-06 17:38 |
| 反馈途径 | 微信 |
| 反馈内容 | 日志分析部分添加 defender 日志 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-03-05 00:13 |
| 备注信息 |
|
5. 添加二进制文件执行日志
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0005 |
| 反馈者 | safefox |
| 反馈时间 | 2024-02-06 17:50 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加 Windows 历史运行程序排查方法 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-03-06 00:06 |
| 备注信息 |
|
6. 完善部分 Windows 事件及 ID
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0006 |
| 反馈者 | safefox |
| 反馈时间 | 2024-02-19 13:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 补充部分协议及服务的 Windows 日志 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-03-06 22:56 |
| 备注信息 |
|
7. 谁决定计划任务的执行结果部分【文字错误】
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0007 |
| 反馈者 | safefox |
| 反馈时间 | 2024-02-19 14:19 |
| 反馈途径 | 微信 |
| 反馈内容 | 小时 -> 消失 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-03-05 00:15 |
| 备注信息 |
|
8. 添加痕迹查看工具
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0008 |
| 反馈者 | 爱做梦的大米饭 |
| 反馈时间 | 2024-02-10 07:12 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加YDArk、LastActivityView |
| 完成情况 | 已添加 LastActivityView,YDArk 不开源,暂不添加 |
| 完成时间 | 2024-03-05 20:15 |
| 备注信息 |
|
9. 完善小技巧查找文件部分
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0009 |
| 反馈者 | 爱做梦的大米饭 |
| 反馈时间 | 2024-02-10 07:12 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加命令行以及 everything 语法 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-03-05 17:53 |
| 备注信息 |
|
10. 添加深信服僵尸网络查杀工具
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0010 |
| 反馈者 | 路人甲、爱做梦的大米饭 |
| 反馈时间 | 2024-02-4 09:01 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加深信服僵尸网络查杀工具 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-03-06 17:14 |
| 备注信息 |
|
11. 添加 SQL Server 应急分析
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0011 |
| 反馈者 | 爱做梦的大米饭 |
| 反馈时间 | 2024-02-10 07:12 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加 SQL Server 应急分析 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-10 00:43 |
| 备注信息 |
|
12. 完善二进制程序校验逻辑
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0012 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2024-03-01 20:54 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 验证签名通过后应该进一步验证签名发布者是否为微软 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-03-06 23:59 |
| 备注信息 |
|
13. 修改 powershell 为 Powershell 【美化】
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0013 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2024-03-04 16:20 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 出于美观需求,将 powershell 写成 Powershell |
| 完成情况 | 已完成 |
| 完成时间 | 2024-03-04 16:27 |
| 备注信息 |
|
14. 添加 beaconEye 工具
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0014 |
| 反馈者 | 爱做梦的大米饭 |
| 反馈时间 | 2024-03-05 11:09 |
| 反馈途径 | 微信 |
| 反馈内容 | 根据 Yara 检测恶意程序 |
| 完成情况 | 暂不添加 |
| 完成时间 | 2024-03-07 00:11 |
| 备注信息 | 工具已经3年未更新 |
15. 新建 Windows 近期活动检查项
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0015 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2024-03-01 20:54 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 增加近期Windows活动以及二进制执行记录 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-03-06 00:08 |
| 备注信息 |
|
16. 添加 360系统急救箱
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0016 |
| 反馈者 | megaparsec |
| 反馈时间 | 2024-03-23 19:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 杀毒软件推荐 360系统急救箱 |
| 完成情况 | 暂不添加 |
| 完成时间 | 2024-03-23 20:23 |
| 备注信息 | 不适用于服务器系统,且不比360杀毒强 |
17. 添加文件时占用强制删除
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0017 |
| 反馈者 | megaparsec |
| 反馈时间 | 2024-03-23 19:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 存在文件占用时,无法强制删除,可以使用IObit Unlocker |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-06 17:59 |
| 备注信息 |
|
18. 添加使用沙箱
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0018 |
| 反馈者 | megaparsec |
| 反馈时间 | 2024-03-23 19:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 鉴定样本可以借助沙箱,如果允许样本上传的话 |
| 完成情况 | 已忽略 |
| 完成时间 | 2024-03-23 19:54 |
| 备注信息 | 手册中已包含沙箱相关内容 |
19. 添加 Rookit 的排查应急
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0019 |
| 反馈者 | megaparsec |
| 反馈时间 | 2024-03-23 19:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 增加 Rookit 的排查应急 |
| 完成情况 | 暂未添加 |
| 完成时间 | 2024-03-23 20:23 |
| 备注信息 | 需要大家主动提供案例,使用网络上的案例可能会侵权 |
20. 建议给pdf增加目录
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0020 |
| 反馈者 | zer07z |
| 反馈时间 | 2024-03-18 11:10 |
| 反馈途径 | Github Issues |
| 反馈内容 | pdf增加目录;增加应急响应check list |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-10 12:30 |
| 备注信息 | 手册本身是有目录(标签)以及check list的,目录由PDF阅读软件自动生成,如果在页面中显式放入目录,单单目录就会占用前 30 多页内容,会给大家阅读带来障碍,之前版本由于 MacOS 预览程序添加封面后与火狐浏览器以及Adobe acrobat DC不兼容,导致不显示内容或目录
常规安全检查部分就是所谓的 check list |
21. 手册显示空白&不显示目录导航
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0021 |
| 反馈者 | value-0 |
| 反馈时间 | 2024-03-19 17:28 |
| 反馈途径 | Github Issues |
| 反馈内容 | 火狐打开手册显示空白;Adobe acrobat DC打开手册不显示目录导航 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-10 12:30 |
| 备注信息 | 由于 MacOS 预览程序添加封面后与火狐浏览器以及Adobe acrobat DC不兼容,导致不显示内容或目录 |
22. 完善二进制校验脚本
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0022 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-03-25 11:25 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 0x16 服务程序 -> 11. 进阶性排查中二进制校验脚本提取路径存在问题,遇到空格会截断 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-07-06 23:52 |
| 备注信息 |
|
23. 添加勒索病毒相关处理逻辑
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0023 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-03-26 15:09 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 完善勒索病毒处理流程 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-07-07 22:29 |
| 备注信息 |
|
24. 添加修改 hosts 文件的示例
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0024 |
| 反馈者 | 郑炼俊 |
| 反馈时间 | 2024-06-18 17:13 |
| 反馈途径 | 微信 |
| 反馈内容 | 远控后门->流量检测->地址诱骗章节完善修改 hosts 部分描述,添加图片示例 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-06 16:30 |
| 备注信息 |
|
25. 手册无法搜索
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0025 |
| 反馈者 | Heraxt |
| 反馈时间 | 2024-07-04 10:19 |
| 反馈途径 | 微信 |
| 反馈内容 | 手册在Windows平台不能直接搜索 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-10 12:30 |
| 备注信息 | Typora Mint 主题导致,通过修改源代码已修复 |
26. 杀死进程树部分【文字错误】
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0026 |
| 反馈者 | 路人甲 |
| 反馈时间 | 2024-06-27 15:01 |
| 反馈途径 | 公众号留言 |
| 反馈内容 | cmd.txt 改为 cmd.exe |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-06 16:24 |
| 备注信息 |
|
27. 增加隧道处置流程
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0027 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-07 22:31 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 增加隧道处置流程 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-07 22:46 |
| 备注信息 |
|
28. 勒索病毒处置部分【文字错误】
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0028 |
| 反馈者 | xxxr_sec |
| 反馈时间 | 2024-05-16 12:25 |
| 反馈途径 | 微信 |
| 反馈内容 | 收到 -> 受到 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-07 22:58 |
| 备注信息 |
|
29. 添加日志分析工具 —— FullEventLogView
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0029 |
| 反馈者 | xxxr_sec、NOP Team |
| 反馈时间 | 2024-05-16 13:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加日志分析工具 FullEventLogView |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-07 23:46 |
| 备注信息 |
|
30. 添加文本对比工具
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0030 |
| 反馈者 | xxxr_sec |
| 反馈时间 | 2024-05-16 13:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加文本对比工具 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-07 23:45 |
| 备注信息 | 添加了 He3 ,除了文本对比功能外,支持大量的编解码等功能 |
31. 添加应用系统和中间件的暴力破解
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0031 |
| 反馈者 | xxxr_sec |
| 反馈时间 | 2024-05-16 13:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 暴力破解模块中是否考虑添加针对应用系统或中间件暴力破解的内容 |
| 完成情况 | 已忽略 |
| 完成时间 | 2024-05-06 13:53 |
| 备注信息 | 特定的应用程序已经有了,中间件属于Web范畴,在将来的 Web 应急响应手册中会涉及 |
32. 添加流量监控工具
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0032 |
| 反馈者 | xxxr_sec |
| 反馈时间 | 2024-05-16 13:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 是否会添加流量监控工具 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-07 23:09 |
| 备注信息 | 添加了 Netsh 和 Wireshark,由于 MMA 已经停止开发,暂时不加进去 |
33. 添加内网文件传输工具
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0033 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-04-29 20:44 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 考虑无法使用U盘传输文件的情况,添加内网文件传输工具 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-08 13:36 |
| 备注信息 |
|
34. 添加证书排查
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0034 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-03-14 15:00 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加对证书的排查,如果存在恶意证书可能导致其他排查失效 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-08 17:06 |
| 备注信息 |
|
35. 添加钓鱼排查流程
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0035 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-05-02 19:25 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 增加钓鱼排查流程 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-09 00:00 |
| 备注信息 |
|
36. 添加 badusb 类事件排查流程
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | WYJXY-0036 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-03-06 21:46 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加 badusb 类事件排查流程 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-09 02:31 |
| 备注信息 | 手册中案例是使用鼠标模拟 badusb ,如果有 badusb ,日志分析可能更准确 |
下载地址
https://pan.baidu.com/s/1EbmHeu_xRNKOcH3PEKbwww?pwd=7kxa
https://github.com/Just-Hack-For-Fun/Windows-INCIDENT-RESPONSE-COOKBOOK
Hash
md5: 194b5c14ff3c81ac4384ce62f3dcf78a
sha-256: cfda362ca0817b7800fd3c745d8296978fc220a7a89d52dfe9d52d8f1d28a205
往期文章
![]()
文章来源: https://mp.weixin.qq.com/s?__biz=MzU1NDkwMzAyMg==&mid=2247502032&idx=1&sn=e5e04054bdafadaf34e82f643294f80f&chksm=fbdefc51cca97547f6e17458911af2d6181a0a03b9158c4746e2c61710d09526de3320b9f0c2&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh