admin/Windows-INCIDENT-RESPONSE-COOKBOOK
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Update 用户反馈列表.md

Browse Source 
Windows 应急响应手册 v1.3 更新
This commit is contained in:
NOP Team
2025-07-18 02:36:51 +08:00
committed by GitHub
parent 58eb59989a
commit 257b499bc0
1 changed files with 364 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

364
用户反馈列表.md
View File

@@ -544,3 +544,367 @@
### 37. 重复内容较多
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0037 |
| 反馈者 | 独眼情报 |
| 反馈时间 | 2024-07-10 13:33 |
| 反馈途径 | 公众号文章留言 |
| 反馈内容 | 重复内容太多,工具没必要分功能举例,建议一次性把工具功能讲透 |
| 完成情况 | 已注意 |
| 完成时间 | 2024-07-10 13:44 |
| 备注信息 | 冗余是因为手册整体按照真实事件处理流程来写的,而不是文章或者教程,出现冗余是正常的,本次更新内容已经注意到该问题,尽可能采用引用的方式规避荣誉问题<br/><br/>至于工具功能,后期可能出专题 |
### 38. 没有对应的练习环境
| 反馈项 | 反馈信息 |
| :------- | :--------------------------------- |
| 反馈编号 | WYJXY-0038 |
| 反馈者 | 大灰狼、来包二重积分 |
| 反馈时间 | 2024-07-10 13:57 |
| 反馈途径 | 公众号文章留言 |
| 反馈内容 | 没有对应的练习环境 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-11 13:55 |
| 备注信息 | 已在公众号公开募集应急响应靶场环境 |
### 39. Windows 路径空格问题排查
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0039 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-11 16:49 |
| 反馈途径 | 作者自查 |
| 反馈内容 | Windows遇到空格可能会有解析问题应该找出所有可能存在解析问题的地址之后看一下默认存在解析问题情况下解析到的文件是否存在将所有的记录下来 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-17 22:20 |
| 备注信息 | `https://github.com/Just-Hack-For-Fun/Check_Path_Blank` |
### 40. 如何保护现场
| 反馈项 | 反馈信息 |
| :------- | :------------------------- |
| 反馈编号 | WYJXY-0040 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-11 17:41 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 发生应急事件时如何保护现场 |
| 完成情况 | 已完成 |
| 完成时间 | 2025-07-16 18:05 |
| 备注信息 | |
### 41. rundll32 具体运行了哪些dll
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0041 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-11 17:48 |
| 反馈途径 | 作者自查 |
| 反馈内容 | rundll32 到底运行了哪些dll |
| 完成情况 | 暂时忽略 |
| 完成时间 | 2025-07-17 22:52 |
| 备注信息 | 作者也不记得当时这个反馈到底是为了什么了,这个标题内容完全可以通过看进程启动参数和线程信息来看。后续再遇到再添加吧。 |
### 42. 修改 pathext 是否可以将其他后缀当exe 执行
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0042 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-11 17:52 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 修改 pathext 是否可以将其他后缀当exe 执行 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-16 18:39 |
| 备注信息 | 修改 pathext 只会修改查找顺序,在 cmd 中可以执行任意后缀的二进制文件,例如 bin、txt |
### 43. 完善挖矿病毒处置流程
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0043 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-17 11:00 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 目前挖矿主流方式都是无文件的一般会有一个木马下载器或者前置进程触发器不断的把poweshell以system权限拉起来 |
| 完成情况 | 已完成 |
| 完成时间 | 2025-07-16 19:02 |
| 备注信息 | 目前仅作说明,后续可能会积攒案例后提取公共处理方法 |
### 44. 添加域控的应急排查
| 反馈项 | 反馈信息 |
| :------- | :------------------------------------------- |
| 反馈编号 | WYJXY-0044 |
| 反馈者 | PseuDo15 |
| 反馈时间 | 2024-08-02 14:53 |
| 反馈途径 | 微信公众号文章留言 |
| 反馈内容 | 添加域控的应急排查 |
| 完成情况 | |
| 完成时间 | |
| 备注信息 | 积攒资料过程中,可能在后续版本单独做章节说明 |
### 45. 安芯网盾的在线查杀网址失效
| 反馈项 | 反馈信息 |
| :------- | :------------------------- |
| 反馈编号 | WYJXY-0045 |
| 反馈者 | FR33D0M |
| 反馈时间 | 2024-08-06 16:45 |
| 反馈途径 | 微信 |
| 反馈内容 | 安芯网盾的在线查杀网址失效 |
| 完成情况 | 已删除 |
| 完成时间 | 2024-08-06 22:54 |
| 备注信息 | |
### 46. 绿盟威胁分析中心网址失效
| 反馈项 | 反馈信息 |
| :------- | :----------------------- |
| 反馈编号 | WYJXY-0046 |
| 反馈者 | FR33D0M |
| 反馈时间 | 2024-08-06 16:59 |
| 反馈途径 | 微信 |
| 反馈内容 | 绿盟威胁分析中心网址失效 |
| 完成情况 | 已删除 |
| 完成时间 | 2024-08-06 23:01 |
| 备注信息 | |
### 47. 勒索病毒章节-根据勒索病毒类型寻找解决方法中文字错误【文字错误】
| 反馈项 | 反馈信息 |
| :------- | :--------------------------------------- |
| 反馈编号 | WYJXY-0047 |
| 反馈者 | FR33D0M |
| 反馈时间 | 2024-08-07 10:00 |
| 反馈途径 | 微信 |
| 反馈内容 | 瑞星放勒索病毒专题 -> 瑞星防勒索病毒专题 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-08-07 21:52 |
| 备注信息 | |
### 48. 勒索病毒章节-根据勒索病毒类型寻找解决方法中文字错误【文字错误】
| 反馈项 | 反馈信息 |
| :------- | :-------------------------------------------------- |
| 反馈编号 | WYJXY-0048 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-12-24 18:40 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 勒索病毒章节-根据勒索病毒类型寻找解决方法中文字错误 |
| 完成情况 | 已修正 |
| 完成时间 | 2025-07-16 19:17 |
| 备注信息 | |
### 49. 善后阶段-添加RDP可以直接登录的服务器
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0049 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-12-25 15:02 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 善后阶段-定损 部分只体现了ssh密钥直接登录的服务器建议添加RDP直接连接的服务器 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-16 19:18 |
| 备注信息 | |
### 50. 常规安全排查-添加各安全软件的例外(排除)列表
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0050 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-12-26 13:30 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 常规安全排查部分添加安全软件的白名单检查,也就是所谓的排除列表 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-16 19:20 |
| 备注信息 | |
### 51. 常规安全排查- NTFS备用数据流检查(ADS)
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0051 |
| 反馈者 | NOP Team |
| 反馈时间 | 2025-02-16 17:21 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 常规安全排查部分添加关于 NTFS 备用数据流检查,经常被用来规避检查 |
| 完成情况 | 已完成 |
| 完成时间 | 2025-07-16 22:23 |
| 备注信息 | 在 常见问题的解决办法 -> 0x01 文件被隐藏 章节中添加 |
### 52. 手册搜索乱码+引用字符无法搜索到
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0052 |
| 反馈者 | corezon、imemaker |
| 反馈时间 | 2025-03-05 16:05 |
| 反馈途径 | 微信公众号私信 |
| 反馈内容 | 手册搜索乱码 |
| 完成情况 | 已修复 |
| 完成时间 | 2025-07-18 02:07 |
| 备注信息 | markdown 的 `>` 语法中的内容都无法搜索到。但并非完美修复,本质原因还是某些字体缺少部分中文字符 |
### 53. 添加 Windows Sandbox 状态检查
| 反馈项 | 反馈信息 |
| :------- | :-------------------------------- |
| 反馈编号 | WYJXY-0053 |
| 反馈者 | megaparsec |
| 反馈时间 | 2025-04-14 15:18 |
| 反馈途径 | 微信 |
| 反馈内容 | 建议添加 Windows Sandbox 状态检查 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-17 00:30 |
| 备注信息 | |
### 54. 敏感文件夹检查-垃圾桶目录
| 反馈项 | 反馈信息 |
| :------- | :---------------------------------- |
| 反馈编号 | WYJXY-0054 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2025-06-30 18:46 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 敏感文件夹检查-垃圾桶目录多了一个 $ |
| 完成情况 | 已修复 |
| 完成时间 | 2025-07-17 00:39 |
| 备注信息 | |
### 55. AppCertDlls 注册表路径缺少空格
| 反馈项 | 反馈信息 |
| :------- | :-------------------------------- |
| 反馈编号 | WYJXY-0055 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2025-07-3 10:57 |
| 反馈途径 | 作者自查 |
| 反馈内容 | SessionManager -> Session Manager |
| 完成情况 | 已修复 |
| 完成时间 | 2025-07-17 00:42 |
| 备注信息 | |
### 56. 近期活动-MUICache添加 Vista之前注册表路径
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0056 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2025-06-29 23:45 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 近期活动-MUICache添加 Vista之前注册表路径 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-17 00:44 |
| 备注信息 | `HKEY_USERS\<sid>\Software\Microsoft\Windows\ShellNoRoam\MUICache` `HKEY_USERS\<sid>\Software\Microsoft\Windows\CurrentVersion\Explorer\MUICache` `HKEY_USERS\<sid>\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache` |
### 57. 近期活动-Jump List添加应用自定义的跳转项
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0057 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2025-06-30 01:00 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 近期活动-Jump List添加应用自定义的跳转项 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-17 00:45 |
| 备注信息 | `C:\Users\<用户名>\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\` |
### 58. 189页文字错误
| 反馈项 | 反馈信息 |
| :------- | :----------------- |
| 反馈编号 | WYJXY-0058 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2025-07-14 04:18 |
| 反馈途径 | xxxr_sec |
| 反馈内容 | 189页 才用 -> 采用 |
| 完成情况 | 已修复 |
| 完成时间 | 2025-07-17 00:46 |
| 备注信息 | |
### 59. 各个事件处置流程添加流程图
| 反馈项 | 反馈信息 |
| :------- | :--------------- |
| 反馈编号 | WYJXY-0059 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2025-07-17 23:00 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加流程图 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-18 00:06 |
| 备注信息 | |
### 60. 添加目录
| 反馈项 | 反馈信息 |
| :------- | :--------------- |
| 反馈编号 | WYJXY-0060 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2025-07-17 23:02 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 为手册添加目录 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-18 02:07 |
| 备注信息 | |