Windows 应急响应手册v1.1
简介
大家好,Windows 应急响应手册v1.1 发布,本次更新最重要的是完善了常规安全检查部分二进制程序签名校验逻辑和添加了二进制程序执行痕迹,同时添加了部分大家常用的工具等,欢迎大家下载、使用、反馈~
大家的反馈对这本手册的发展很重要,所以我们将大家的反馈信息放在了下面的用户反馈列表,大家可以看到提供反馈的用户以及具体反馈的内容,也是我们对于反馈的朋友们的公开回复,感谢大家反馈~
更新日记
v1.1 20240307
- 常规安全检查 -> 进程部分添加 OpenArk
- 常见问题的解决办法部分添加恶意文件被删除章节
20240306
- 应急响应事件流程的挖矿病毒、远控后门部分添加 OpenArk 工具
- 应急响应事件流程的挖矿病毒、远控后门、非持续性事件等部分添加内存搜索字符串步骤
- 常规安全检查阶段添加近期活动检查
- 系统日志分析部分添加额外的 RDP 相关日志
- 小技巧章节添加 0x03 内存中搜索字符串章节
- 常规安全检查 -> 服务程序 -> 注册表部分完善用于二进制签名验证的 Powershell 脚本的实现逻辑
- 常规安全检查 -> 服务程序 -> 进阶性排查部分完善用于二进制签名验证的 Powershell 脚本的实现逻辑
- 常规安全检查 -> COM 劫持部分完善用于二进制签名验证的 Powershell 脚本的实现逻辑
- 常规安全检查 -> Winsock NSP 部分完善用于二进制签名验证的 Powershell 脚本的实现逻辑
20240305
- 常规安全检查阶段添加 Windows Defender 日志检查
- 修复 知识点附录 -> 0x10 谁决定计划任务的执行结果章节的文字错误
- 小技巧 -> 0x01 查找文件章节添加
dir、forfiles、Powershell查找文件以及Everything语法 - 知识点附录添加 0x15 Everything 语法
- 事前准备 -> 0x02 工具准备章节添加
OpenArk、LastActivityView
20240304
- 进行部分文字美化,例如将 powershell 修改为 Powershell
20240206
- 修复挖矿病毒和远控后门章节的寻找恶意样本过程中文字错误
- 威胁分析部分将 PCHunter 修改为安芯网盾未知威胁文件检测系统
v1.0 20240203
- Hello World
《Windows 应急响应手册v1.1》下载地址 https://pan.baidu.com/s/1UzzOsl0lRyclRYFk1-EFiQ?pwd=a3hk 提取码:a3hk https://github.com/Just-Hack-For-Fun/Windows-INCIDENT-RESPONSE-COOKBOOK Hash md5: e65dc56b813059ca915e7403a0e251a3 sha-256: 38adcf5c6526900e85d1de8068475e01b130f32bbe9c4b2ba4b59759b9a1903f
用户反馈列表
在反馈过程中,除了 Github 上提交的反馈,我们都会询问是否公开反馈者信息,没有取得明确回复可以公开的情况下,以
路人甲代表 微信公众号无法主动留言,导致部分反馈者没能联系上,朋友们如果看到自己的反馈以路人甲代表,可以联系我们修改
1. 寻找恶意样本部分 【文字错误】
反馈项 | 反馈信息 |
|---|---|
反馈编号 | WYJXY-0001 |
反馈者 | 路人甲 |
反馈时间 | 2024-02-06 11:07 |
反馈途径 | 公众号留言 |
反馈内容 | 将一下内容改为将以下内容 |
完成情况 | 已修复 |
完成时间 | 2024-02-06 19:28 |
2. 威胁分析部分 【平台名称错误】
反馈项 | 反馈信息 |
|---|---|
反馈编号 | WYJXY-0002 |
反馈者 | safefox |
反馈时间 | 2024-02-06 17:38 |
反馈途径 | 微信 |
反馈内容 | 将 PCHunter 修改为安芯网盾未知威胁文件检测系统 |
完成情况 | 已修复 |
完成时间 | 2024-02-06 19:28 |
3. 添加 OpenArk 工具
反馈项 | 反馈信息 |
|---|---|
反馈编号 | WYJXY-0003 |
反馈者 | safefox |
反馈时间 | 2024-02-06 17:38 |
反馈途径 | 微信 |
反馈内容 | 考虑添加 OpenArk 工具 |
完成情况 | 已完成 |
完成时间 | 2024-03-06 17:43 |
4. 添加 Defender 日志
反馈项 | 反馈信息 |
|---|---|
反馈编号 | WYJXY-0004 |
反馈者 | safefox |
反馈时间 | 2024-02-06 17:38 |
反馈途径 | 微信 |
反馈内容 | 日志分析部分添加 defender 日志 |
完成情况 | 已添加 |
完成时间 | 2024-03-05 00:13 |
5. 添加二进制文件执行日志
反馈项 | 反馈信息 |
|---|---|
反馈编号 | WYJXY-0005 |
反馈者 | safefox |
反馈时间 | 2024-02-06 17:50 |
反馈途径 | 微信 |
反馈内容 | 添加 Windows 历史运行程序排查方法 |
完成情况 | 已添加 |
完成时间 | 2024-03-06 00:06 |
6. 完善部分 Windows 事件及 ID
反馈项 | 反馈信息 |
|---|---|
反馈编号 | WYJXY-0006 |
反馈者 | safefox |
反馈时间 | 2024-02-19 13:53 |
反馈途径 | 微信 |
反馈内容 | 补充部分协议及服务的 Windows 日志 |
完成情况 | 已完善 |
完成时间 | 2024-03-06 22:56 |
7. 谁决定计划任务的执行结果部分【文字错误】
WYJXY-00078. 添加痕迹查看工具
反馈项 | 反馈信息 |
|---|---|
反馈编号 | WYJXY-0008 |
反馈者 | 爱做梦的大米饭 |
反馈时间 | 2024-02-10 07:12 |
反馈途径 | 微信 |
反馈内容 | 添加YDArk、LastActivityView |
完成情况 | 已添加 LastActivityView,YDArk 不开源,暂不添加 |
完成时间 | 2024-03-05 20:15 |
9. 完善小技巧查找文件部分
反馈项 | 反馈信息 |
|---|---|
反馈编号 | WYJXY-0009 |
反馈者 | 爱做梦的大米饭 |
反馈时间 | 2024-02-10 07:12 |
反馈途径 | 微信 |
反馈内容 | 添加命令行以及 everything 语法 |
完成情况 | 已完成 |
完成时间 | 2024-03-05 17:53 |
10. 添加深信服僵尸网络查杀工具
反馈项 | 反馈信息 |
|---|---|
反馈编号 | WYJXY-0010 |
反馈者 | 路人甲、爱做梦的大米饭 |
反馈时间 | 2024-02-4 09:01 |
反馈途径 | 微信 |
反馈内容 | 添加深信服僵尸网络查杀工具 |
完成情况 | 已添加 |
完成时间 | 2024-03-06 17:14 |
11. 添加 SQL Server 应急分析
反馈项 | 反馈信息 |
|---|---|
反馈编号 | WYJXY-0011 |
反馈者 | 爱做梦的大米饭 |
反馈时间 | 2024-02-10 07:12 |
反馈途径 | 微信 |
反馈内容 | 添加 SQL Server 应急分析 |
完成情况 | 暂未添加,打算后续做专题 |
完成时间 | 2024-03-07 15:06 |
12. 完善二进制程序校验逻辑
反馈项 | 反馈信息 |
|---|---|
反馈编号 | WYJXY-0012 |
反馈者 | NOPTeam |
反馈时间 | 2024-03-01 20:54 |
反馈途径 | 作者自查 |
反馈内容 | 验证签名通过后应该进一步验证签名发布者是否为微软 |
完成情况 | 已完成 |
完成时间 | 2024-03-06 23:59 |
13. 修改 powershell 为 Powershell 【美化】
WYJXY-001314. 添加 beaconEye 工具
反馈项 | 反馈信息 |
|---|---|
反馈编号 | WYJXY-0014 |
反馈者 | 爱做梦的大米饭 |
反馈时间 | 2024-03-05 11:09 |
反馈途径 | 微信 |
反馈内容 | 根据 Yara 检测恶意程序 |
完成情况 | 暂不添加(工具已经3年未更新) |
完成时间 | 2024-03-07 00:11 |
15. 新建 Windows 近期活动检查项
反馈项 | 反馈信息 |
|---|---|
反馈编号 | WYJXY-0015 |
反馈者 | NOPTeam |
反馈时间 | 2024-03-01 20:54 |
反馈途径 | 作者自查 |
反馈内容 | 增加近期Windows活动以及二进制执行记录 |
完成情况 | 已完成 |
完成时间 | 2024-03-06 00:08 |