Windows 应急响应手册v1.1

简介

大家好，Windows 应急响应手册v1.1 发布，本次更新最重要的是完善了常规安全检查部分二进制程序签名校验逻辑和添加了二进制程序执行痕迹，同时添加了部分大家常用的工具等，欢迎大家下载、使用、反馈～

大家的反馈对这本手册的发展很重要，所以我们将大家的反馈信息放在了下面的用户反馈列表，大家可以看到提供反馈的用户以及具体反馈的内容，也是我们对于反馈的朋友们的公开回复，感谢大家反馈～

更新日记

v1.1

20240307

• 常规安全检查 -> 进程部分添加 OpenArk
• 常见问题的解决办法部分添加恶意文件被删除章节

20240306

• 应急响应事件流程的挖矿病毒、远控后门部分添加 OpenArk 工具
• 应急响应事件流程的挖矿病毒、远控后门、非持续性事件等部分添加内存搜索字符串步骤
• 常规安全检查阶段添加近期活动检查
• 系统日志分析部分添加额外的 RDP 相关日志
• 小技巧章节添加 0x03 内存中搜索字符串章节
• 常规安全检查 -> 服务程序 -> 注册表部分完善用于二进制签名验证的 Powershell 脚本的实现逻辑
• 常规安全检查 -> 服务程序 -> 进阶性排查部分完善用于二进制签名验证的 Powershell 脚本的实现逻辑
• 常规安全检查 -> COM 劫持部分完善用于二进制签名验证的 Powershell 脚本的实现逻辑
• 常规安全检查 -> Winsock NSP 部分完善用于二进制签名验证的 Powershell 脚本的实现逻辑

20240305

• 常规安全检查阶段添加 Windows Defender 日志检查
• 修复 知识点附录 -> 0x10 谁决定计划任务的执行结果章节的文字错误
• 小技巧 -> 0x01 查找文件章节添加dir、forfiles、Powershell 查找文件以及 Everything 语法
• 知识点附录添加 0x15 Everything 语法
• 事前准备 -> 0x02 工具准备章节添加 OpenArk、LastActivityView

20240304

• 进行部分文字美化，例如将 powershell 修改为 Powershell

20240206

• 修复挖矿病毒和远控后门章节的寻找恶意样本过程中文字错误
• 威胁分析部分将 PCHunter 修改为安芯网盾未知威胁文件检测系统

v1.0

20240203

• Hello World

《Windows 应急响应手册v1.1》下载地址

https://pan.baidu.com/s/1UzzOsl0lRyclRYFk1-EFiQ?pwd=a3hk 提取码:a3hk

https://github.com/Just-Hack-For-Fun/Windows-INCIDENT-RESPONSE-COOKBOOK

Hash

md5: e65dc56b813059ca915e7403a0e251a3

sha-256: 38adcf5c6526900e85d1de8068475e01b130f32bbe9c4b2ba4b59759b9a1903f

用户反馈列表

在反馈过程中，除了 Github 上提交的反馈，我们都会询问是否公开反馈者信息，没有取得明确回复可以公开的情况下，以 路人甲 代表

微信公众号无法主动留言，导致部分反馈者没能联系上，朋友们如果看到自己的反馈以 路人甲 代表，可以联系我们修改

1. 寻找恶意样本部分 【文字错误】

2. 威胁分析部分 【平台名称错误】

3. 添加 OpenArk 工具

4. 添加 Defender 日志

5. 添加二进制文件执行日志

6.  完善部分 Windows 事件及 ID

7.  谁决定计划任务的执行结果部分【文字错误】

8. 添加痕迹查看工具

9. 完善小技巧查找文件部分

10. 添加深信服僵尸网络查杀工具

11. 添加 SQL Server 应急分析

12. 完善二进制程序校验逻辑

13. 修改 powershell 为 Powershell 【美化】

14. 添加 beaconEye 工具

15. 新建 Windows 近期活动检查项

原文始发于微信公众号（NOP Team）：Windows 应急响应手册v1.1