Windows 应急响应手册v1.2 【重要更新】

admin 2024年7月10日16:10:22评论9 views字数 6365阅读21分13秒阅读模式

简介

大家好,《Windows 应急响应手册 v1.2》 发布啦!

本次是一个大更新,解决了两个大问题,添加了4个大的事件处置流程以及一些更新,下载链接在文末

两个大问题是:

  1. Windows 平台的 Adobe acrobat DC  、Firefox 浏览器、Edge浏览器等打开手册出现无法显示目录、内容为空白等问题
  2. 全平台无法搜索,复制内容后,粘贴会出现乱码的情况

第一个大问题产生的原因是封面添加方式,之前一直是使用 MacOS 自带的预览程序添加的封面,这会导致 MacOS 以外的其他平台部分程序解析出现问题,这也是 Github 上放置项目以后得到的最有价值的反馈,感谢反馈的朋友们,这是直接影响手册效果的大问题,这次我们解决了,解决方法是通过 WPS 添加封面,感谢 WPS

第二个大问题产生的原因是 Typora 的 Mint 主题没有包含中文字体,所以我们通过修改该主题的源代码解决了导出 PDF 无法搜索、复制粘贴乱码的问题

这两个问题对使用之前手册的用户影响太大了,希望大家帮忙多多转发,尽可能将本次更新传递到用户们手里!

Adobe acrobat DC

Windows 应急响应手册v1.2 【重要更新】
Windows 应急响应手册v1.2 【重要更新】

Edge

Windows 应急响应手册v1.2 【重要更新】
Windows 应急响应手册v1.2 【重要更新】

Firefox

Windows 应急响应手册v1.2 【重要更新】
Windows 应急响应手册v1.2 【重要更新】

大家的反馈对这本手册的发展很重要,我们将大家的反馈信息列表放在了下面,我们将下载链接放在文末就是希望大家可以看到提供反馈的用户以及具体反馈的内容,也是我们对于反馈的朋友们的公开回复,感谢大家反馈~

更新日记

v1.2 - 20240710

  • 修复了 Windows 平台无法查看目录或显示空白的问题
  • 修复了PDF版手册无法搜索以及复制乱码的问题
  • 添加 MSSQL 事件排查流程
  • 添加钓鱼事件排查流程
  • 添加 badusb 投毒事件排查流程
  • 添加了隧道事件 -> 0x08 隧道处置流程
  • 完善了勒索病毒处置流程
  • 完善了服务程序 -> 11. 进阶性排查 中二进制校验脚本
  • 常规安全检查章节添加了 0x02 证书排查章节
  • 小技巧章节添加了 0x04 查找文件占用小工具 IObit Unlocker
  • 小技巧章节添加了 0x05 内网文件传输工具
  • 远控后门 ->流量检测->地址诱骗章节完善了修改 hosts 部分描述,添加了图片示例
  • 添加了日志分析工具 —— FullEventLogView
  • 添加了编解码与文本对比工具 —— He3
  • 添加了流量监控工具 Netsh、Wireshark

v1.1 - 20240307

v1.0 - 20240203

用户反馈列表

在反馈过程中,除了 Github 上提交的反馈,我们都会询问是否公开反馈者信息,没有取得明确回复可以公开的情况下,以 路人甲 代表

微信公众号无法主动留言,导致部分反馈者没能联系上,朋友们如果看到自己的反馈以 路人甲 代表,可以联系我们修改

1. 寻找恶意样本部分 【文字错误】

反馈项 反馈信息
反馈编号 WYJXY-0001
反馈者 路人甲
反馈时间 2024-02-06 11:07
反馈途径 公众号留言
反馈内容 将一下内容改为将以下内容
完成情况 已修复
完成时间 2024-02-06 19:28
备注信息

2. 威胁分析部分 【平台名称错误】

反馈项 反馈信息
反馈编号 WYJXY-0002
反馈者 safefox
反馈时间 2024-02-06 17:38
反馈途径 微信
反馈内容 将 PCHunter 修改为安芯网盾未知威胁文件检测系统
完成情况 已修复
完成时间 2024-02-06 19:28
备注信息

3. 添加 OpenArk 工具

反馈项 反馈信息
反馈编号 WYJXY-0003
反馈者 safefox
反馈时间 2024-02-06 17:38
反馈途径 微信
反馈内容 考虑添加 OpenArk 工具
完成情况 已完成
完成时间 2024-03-06 17:43
备注信息

4. 添加 Defender 日志

反馈项 反馈信息
反馈编号 WYJXY-0004
反馈者 safefox
反馈时间 2024-02-06 17:38
反馈途径 微信
反馈内容 日志分析部分添加 defender 日志
完成情况 已添加
完成时间 2024-03-05 00:13
备注信息

5. 添加二进制文件执行日志

反馈项 反馈信息
反馈编号 WYJXY-0005
反馈者 safefox
反馈时间 2024-02-06 17:50
反馈途径 微信
反馈内容 添加 Windows 历史运行程序排查方法
完成情况 已添加
完成时间 2024-03-06 00:06
备注信息

6.  完善部分 Windows 事件及 ID

反馈项 反馈信息
反馈编号 WYJXY-0006
反馈者 safefox
反馈时间 2024-02-19 13:53
反馈途径 微信
反馈内容 补充部分协议及服务的 Windows 日志
完成情况 已完善
完成时间 2024-03-06 22:56
备注信息

7.  谁决定计划任务的执行结果部分【文字错误】

反馈项 反馈信息
反馈编号 WYJXY-0007
反馈者 safefox
反馈时间 2024-02-19 14:19
反馈途径 微信
反馈内容 小时 -> 消失
完成情况 已修复
完成时间 2024-03-05 00:15
备注信息

8. 添加痕迹查看工具

反馈项 反馈信息
反馈编号 WYJXY-0008
反馈者 爱做梦的大米饭
反馈时间 2024-02-10 07:12
反馈途径 微信
反馈内容 添加YDArk、LastActivityView
完成情况 已添加 LastActivityView,YDArk 不开源,暂不添加
完成时间 2024-03-05 20:15
备注信息

9. 完善小技巧查找文件部分

反馈项 反馈信息
反馈编号 WYJXY-0009
反馈者 爱做梦的大米饭
反馈时间 2024-02-10 07:12
反馈途径 微信
反馈内容 添加命令行以及 everything 语法
完成情况 已完成
完成时间 2024-03-05 17:53
备注信息

10. 添加深信服僵尸网络查杀工具

反馈项 反馈信息
反馈编号 WYJXY-0010
反馈者 路人甲、爱做梦的大米饭
反馈时间 2024-02-4 09:01
反馈途径 微信
反馈内容 添加深信服僵尸网络查杀工具
完成情况 已添加
完成时间 2024-03-06 17:14
备注信息

11. 添加 SQL Server 应急分析

反馈项 反馈信息
反馈编号 WYJXY-0011
反馈者 爱做梦的大米饭
反馈时间 2024-02-10 07:12
反馈途径 微信
反馈内容 添加 SQL Server 应急分析
完成情况 已添加
完成时间 2024-07-10 00:43
备注信息

12. 完善二进制程序校验逻辑

反馈项 反馈信息
反馈编号 WYJXY-0012
反馈者 NOPTeam
反馈时间 2024-03-01 20:54
反馈途径 作者自查
反馈内容 验证签名通过后应该进一步验证签名发布者是否为微软
完成情况 已完成
完成时间 2024-03-06 23:59
备注信息

13. 修改 powershell 为 Powershell 【美化】

反馈项 反馈信息
反馈编号 WYJXY-0013
反馈者 NOPTeam
反馈时间 2024-03-04 16:20
反馈途径 作者自查
反馈内容 出于美观需求,将 powershell 写成 Powershell
完成情况 已完成
完成时间 2024-03-04 16:27
备注信息

14. 添加 beaconEye 工具

反馈项 反馈信息
反馈编号 WYJXY-0014
反馈者 爱做梦的大米饭
反馈时间 2024-03-05 11:09
反馈途径 微信
反馈内容 根据 Yara 检测恶意程序
完成情况 暂不添加
完成时间 2024-03-07 00:11
备注信息 工具已经3年未更新

15. 新建 Windows 近期活动检查项

反馈项 反馈信息
反馈编号 WYJXY-0015
反馈者 NOPTeam
反馈时间 2024-03-01 20:54
反馈途径 作者自查
反馈内容 增加近期Windows活动以及二进制执行记录
完成情况 已完成
完成时间 2024-03-06 00:08
备注信息

16. 添加 360系统急救箱

反馈项 反馈信息
反馈编号 WYJXY-0016
反馈者 megaparsec
反馈时间 2024-03-23 19:53
反馈途径 微信
反馈内容 杀毒软件推荐 360系统急救箱
完成情况 暂不添加
完成时间 2024-03-23 20:23
备注信息 不适用于服务器系统,且不比360杀毒强

17. 添加文件时占用强制删除

反馈项 反馈信息
反馈编号 WYJXY-0017
反馈者 megaparsec
反馈时间 2024-03-23 19:53
反馈途径 微信
反馈内容 存在文件占用时,无法强制删除,可以使用IObit Unlocker
完成情况 已添加
完成时间 2024-07-06 17:59
备注信息

18. 添加使用沙箱

反馈项 反馈信息
反馈编号 WYJXY-0018
反馈者 megaparsec
反馈时间 2024-03-23 19:53
反馈途径 微信
反馈内容 鉴定样本可以借助沙箱,如果允许样本上传的话
完成情况 已忽略
完成时间 2024-03-23 19:54
备注信息 手册中已包含沙箱相关内容

19. 添加 Rookit 的排查应急

反馈项 反馈信息
反馈编号 WYJXY-0019
反馈者 megaparsec
反馈时间 2024-03-23 19:53
反馈途径 微信
反馈内容 增加 Rookit 的排查应急
完成情况 暂未添加
完成时间 2024-03-23 20:23
备注信息 需要大家主动提供案例,使用网络上的案例可能会侵权

20. 建议给pdf增加目录

反馈项 反馈信息
反馈编号 WYJXY-0020
反馈者 zer07z
反馈时间 2024-03-18 11:10
反馈途径 Github Issues
反馈内容 pdf增加目录;增加应急响应check list
完成情况 已修复
完成时间 2024-07-10 12:30
备注信息 手册本身是有目录(标签)以及check list的,目录由PDF阅读软件自动生成,如果在页面中显式放入目录,单单目录就会占用前 30 多页内容,会给大家阅读带来障碍,之前版本由于 MacOS 预览程序添加封面后与火狐浏览器以及Adobe acrobat DC不兼容,导致不显示内容或目录
常规安全检查部分就是所谓的 check list

21. 手册显示空白&不显示目录导航

反馈项 反馈信息
反馈编号 WYJXY-0021
反馈者 value-0
反馈时间 2024-03-19 17:28
反馈途径 Github Issues
反馈内容 火狐打开手册显示空白;Adobe acrobat DC打开手册不显示目录导航
完成情况 已修复
完成时间 2024-07-10 12:30
备注信息 由于 MacOS 预览程序添加封面后与火狐浏览器以及Adobe acrobat DC不兼容,导致不显示内容或目录

22. 完善二进制校验脚本

反馈项 反馈信息
反馈编号 WYJXY-0022
反馈者 NOP Team
反馈时间 2024-03-25 11:25
反馈途径 作者自查
反馈内容 0x16 服务程序 -> 11. 进阶性排查中二进制校验脚本提取路径存在问题,遇到空格会截断
完成情况 已完善
完成时间 2024-07-06 23:52
备注信息

23. 添加勒索病毒相关处理逻辑

反馈项 反馈信息
反馈编号 WYJXY-0023
反馈者 NOP Team
反馈时间 2024-03-26 15:09
反馈途径 作者自查
反馈内容 完善勒索病毒处理流程
完成情况 已完善
完成时间 2024-07-07 22:29
备注信息

24. 添加修改 hosts 文件的示例

反馈项 反馈信息
反馈编号 WYJXY-0024
反馈者 郑炼俊
反馈时间 2024-06-18 17:13
反馈途径 微信
反馈内容 远控后门->流量检测->地址诱骗章节完善修改 hosts 部分描述,添加图片示例
完成情况 已添加
完成时间 2024-07-06 16:30
备注信息

25. 手册无法搜索

反馈项 反馈信息
反馈编号 WYJXY-0025
反馈者 Heraxt
反馈时间 2024-07-04 10:19
反馈途径 微信
反馈内容 手册在Windows平台不能直接搜索
完成情况 已修复
完成时间 2024-07-10 12:30
备注信息 Typora Mint 主题导致,通过修改源代码已修复

26. 杀死进程树部分【文字错误】

反馈项 反馈信息
反馈编号 WYJXY-0026
反馈者 路人甲
反馈时间 2024-06-27 15:01
反馈途径 公众号留言
反馈内容 cmd.txt 改为 cmd.exe
完成情况 已完成
完成时间 2024-07-06 16:24
备注信息

27. 增加隧道处置流程

反馈项 反馈信息
反馈编号 WYJXY-0027
反馈者 NOP Team
反馈时间 2024-07-07 22:31
反馈途径 作者自查
反馈内容 增加隧道处置流程
完成情况 已完成
完成时间 2024-07-07 22:46
备注信息

28. 勒索病毒处置部分【文字错误】

反馈项 反馈信息
反馈编号 WYJXY-0028
反馈者 xxxr_sec
反馈时间 2024-05-16 12:25
反馈途径 微信
反馈内容 收到 -> 受到
完成情况 已修复
完成时间 2024-07-07 22:58
备注信息

29. 添加日志分析工具 —— FullEventLogView

反馈项 反馈信息
反馈编号 WYJXY-0029
反馈者 xxxr_sec、NOP Team
反馈时间 2024-05-16 13:53
反馈途径 微信
反馈内容 添加日志分析工具 FullEventLogView
完成情况 已添加
完成时间 2024-07-07 23:46
备注信息

30. 添加文本对比工具

反馈项 反馈信息
反馈编号 WYJXY-0030
反馈者 xxxr_sec
反馈时间 2024-05-16 13:53
反馈途径 微信
反馈内容 添加文本对比工具
完成情况 已添加
完成时间 2024-07-07 23:45
备注信息 添加了 He3 ,除了文本对比功能外,支持大量的编解码等功能

31. 添加应用系统和中间件的暴力破解

反馈项 反馈信息
反馈编号 WYJXY-0031
反馈者 xxxr_sec
反馈时间 2024-05-16 13:53
反馈途径 微信
反馈内容 暴力破解模块中是否考虑添加针对应用系统或中间件暴力破解的内容
完成情况 已忽略
完成时间 2024-05-06 13:53
备注信息 特定的应用程序已经有了,中间件属于Web范畴,在将来的 Web 应急响应手册中会涉及

32. 添加流量监控工具

反馈项 反馈信息
反馈编号 WYJXY-0032
反馈者 xxxr_sec
反馈时间 2024-05-16 13:53
反馈途径 微信
反馈内容 是否会添加流量监控工具
完成情况 已完成
完成时间 2024-07-07  23:09
备注信息 添加了 Netsh 和 Wireshark,由于 MMA 已经停止开发,暂时不加进去

33. 添加内网文件传输工具

反馈项 反馈信息
反馈编号 WYJXY-0033
反馈者 NOP Team
反馈时间 2024-04-29 20:44
反馈途径 作者自查
反馈内容 考虑无法使用U盘传输文件的情况,添加内网文件传输工具
完成情况 已添加
完成时间 2024-07-08  13:36
备注信息

34. 添加证书排查

反馈项 反馈信息
反馈编号 WYJXY-0034
反馈者 NOP Team
反馈时间 2024-03-14 15:00
反馈途径 作者自查
反馈内容 添加对证书的排查,如果存在恶意证书可能导致其他排查失效
完成情况 已添加
完成时间 2024-07-08  17:06
备注信息

35. 添加钓鱼排查流程

反馈项 反馈信息
反馈编号 WYJXY-0035
反馈者 NOP Team
反馈时间 2024-05-02 19:25
反馈途径 作者自查
反馈内容 增加钓鱼排查流程
完成情况 已添加
完成时间 2024-07-09 00:00
备注信息

36. 添加 badusb 类事件排查流程

反馈项 反馈信息
反馈编号 WYJXY-0036
反馈者 NOP Team
反馈时间 2024-03-06 21:46
反馈途径 作者自查
反馈内容 添加 badusb 类事件排查流程
完成情况 已添加
完成时间 2024-07-09 02:31
备注信息 手册中案例是使用鼠标模拟 badusb ,如果有 badusb ,日志分析可能更准确

下载地址

https://pan.baidu.com/s/1EbmHeu_xRNKOcH3PEKbwww?pwd=7kxa

https://github.com/Just-Hack-For-Fun/Windows-INCIDENT-RESPONSE-COOKBOO

Hash 
md5: 194b5c14ff3c81ac4384ce62f3dcf78a
sha-256: cfda362ca0817b7800fd3c745d8296978fc220a7a89d52dfe9d52d8f1d28a205

原文始发于微信公众号(NOP Team):Windows 应急响应手册v1.2 【重要更新】

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月10日16:10:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows 应急响应手册v1.2 【重要更新】https://cn-sec.com/archives/2939533.html

发表评论

匿名网友 填写信息