From 257b499bc0482998d2135039ed3cec89c3e629c8 Mon Sep 17 00:00:00 2001
From: NOP Team <120591101+Just-Hack-For-Fun@users.noreply.github.com>
Date: Fri, 18 Jul 2025 02:36:51 +0800
Subject: [PATCH] =?UTF-8?q?Update=20=E7=94=A8=E6=88=B7=E5=8F=8D=E9=A6=88?=
=?UTF-8?q?=E5=88=97=E8=A1=A8.md?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Windows 应急响应手册 v1.3 更新
---
用户反馈列表.md | 364 ++++++++++++++++++++++++++++++++++++++++++++++++
1 file changed, 364 insertions(+)
diff --git a/用户反馈列表.md b/用户反馈列表.md
index 23b1fdd..608355c 100644
--- a/用户反馈列表.md
+++ b/用户反馈列表.md
@@ -544,3 +544,367 @@
+### 37. 重复内容较多
+
+| 反馈项 | 反馈信息 |
+| :------- | :----------------------------------------------------------- |
+| 反馈编号 | WYJXY-0037 |
+| 反馈者 | 独眼情报 |
+| 反馈时间 | 2024-07-10 13:33 |
+| 反馈途径 | 公众号文章留言 |
+| 反馈内容 | 重复内容太多,工具没必要分功能举例,建议一次性把工具功能讲透 |
+| 完成情况 | 已注意 |
+| 完成时间 | 2024-07-10 13:44 |
+| 备注信息 | 冗余是因为手册整体按照真实事件处理流程来写的,而不是文章或者教程,出现冗余是正常的,本次更新内容已经注意到该问题,尽可能采用引用的方式规避荣誉问题
至于工具功能,后期可能出专题 |
+
+
+
+### 38. 没有对应的练习环境
+
+| 反馈项 | 反馈信息 |
+| :------- | :--------------------------------- |
+| 反馈编号 | WYJXY-0038 |
+| 反馈者 | 大灰狼、来包二重积分 |
+| 反馈时间 | 2024-07-10 13:57 |
+| 反馈途径 | 公众号文章留言 |
+| 反馈内容 | 没有对应的练习环境 |
+| 完成情况 | 已完成 |
+| 完成时间 | 2024-07-11 13:55 |
+| 备注信息 | 已在公众号公开募集应急响应靶场环境 |
+
+
+
+### 39. Windows 路径空格问题排查
+
+| 反馈项 | 反馈信息 |
+| :------- | :----------------------------------------------------------- |
+| 反馈编号 | WYJXY-0039 |
+| 反馈者 | NOP Team |
+| 反馈时间 | 2024-07-11 16:49 |
+| 反馈途径 | 作者自查 |
+| 反馈内容 | Windows遇到空格可能会有解析问题,应该找出所有可能存在解析问题的地址,之后看一下默认存在解析问题情况下解析到的文件是否存在,将所有的记录下来 |
+| 完成情况 | 已添加 |
+| 完成时间 | 2025-07-17 22:20 |
+| 备注信息 | `https://github.com/Just-Hack-For-Fun/Check_Path_Blank` |
+
+
+
+### 40. 如何保护现场
+
+| 反馈项 | 反馈信息 |
+| :------- | :------------------------- |
+| 反馈编号 | WYJXY-0040 |
+| 反馈者 | NOP Team |
+| 反馈时间 | 2024-07-11 17:41 |
+| 反馈途径 | 作者自查 |
+| 反馈内容 | 发生应急事件时如何保护现场 |
+| 完成情况 | 已完成 |
+| 完成时间 | 2025-07-16 18:05 |
+| 备注信息 | |
+
+
+
+### 41. rundll32 具体运行了哪些dll
+
+| 反馈项 | 反馈信息 |
+| :------- | :----------------------------------------------------------- |
+| 反馈编号 | WYJXY-0041 |
+| 反馈者 | NOP Team |
+| 反馈时间 | 2024-07-11 17:48 |
+| 反馈途径 | 作者自查 |
+| 反馈内容 | rundll32 到底运行了哪些dll |
+| 完成情况 | 暂时忽略 |
+| 完成时间 | 2025-07-17 22:52 |
+| 备注信息 | 作者也不记得当时这个反馈到底是为了什么了,这个标题内容完全可以通过看进程启动参数和线程信息来看。后续再遇到再添加吧。 |
+
+
+
+### 42. 修改 pathext 是否可以将其他后缀当exe 执行
+
+| 反馈项 | 反馈信息 |
+| :------- | :----------------------------------------------------------- |
+| 反馈编号 | WYJXY-0042 |
+| 反馈者 | NOP Team |
+| 反馈时间 | 2024-07-11 17:52 |
+| 反馈途径 | 作者自查 |
+| 反馈内容 | 修改 pathext 是否可以将其他后缀当exe 执行 |
+| 完成情况 | 已添加 |
+| 完成时间 | 2025-07-16 18:39 |
+| 备注信息 | 修改 pathext 只会修改查找顺序,在 cmd 中可以执行任意后缀的二进制文件,例如 bin、txt |
+
+
+
+### 43. 完善挖矿病毒处置流程
+
+| 反馈项 | 反馈信息 |
+| :------- | :----------------------------------------------------------- |
+| 反馈编号 | WYJXY-0043 |
+| 反馈者 | NOP Team |
+| 反馈时间 | 2024-07-17 11:00 |
+| 反馈途径 | 作者自查 |
+| 反馈内容 | 目前挖矿主流方式都是无文件的,一般会有一个木马下载器或者前置进程触发器,不断的把poweshell以system权限拉起来 |
+| 完成情况 | 已完成 |
+| 完成时间 | 2025-07-16 19:02 |
+| 备注信息 | 目前仅作说明,后续可能会积攒案例后提取公共处理方法 |
+
+
+
+### 44. 添加域控的应急排查
+
+| 反馈项 | 反馈信息 |
+| :------- | :------------------------------------------- |
+| 反馈编号 | WYJXY-0044 |
+| 反馈者 | PseuDo15 |
+| 反馈时间 | 2024-08-02 14:53 |
+| 反馈途径 | 微信公众号文章留言 |
+| 反馈内容 | 添加域控的应急排查 |
+| 完成情况 | |
+| 完成时间 | |
+| 备注信息 | 积攒资料过程中,可能在后续版本单独做章节说明 |
+
+
+
+### 45. 安芯网盾的在线查杀网址失效
+
+| 反馈项 | 反馈信息 |
+| :------- | :------------------------- |
+| 反馈编号 | WYJXY-0045 |
+| 反馈者 | FR33D0M |
+| 反馈时间 | 2024-08-06 16:45 |
+| 反馈途径 | 微信 |
+| 反馈内容 | 安芯网盾的在线查杀网址失效 |
+| 完成情况 | 已删除 |
+| 完成时间 | 2024-08-06 22:54 |
+| 备注信息 | |
+
+
+
+### 46. 绿盟威胁分析中心网址失效
+
+| 反馈项 | 反馈信息 |
+| :------- | :----------------------- |
+| 反馈编号 | WYJXY-0046 |
+| 反馈者 | FR33D0M |
+| 反馈时间 | 2024-08-06 16:59 |
+| 反馈途径 | 微信 |
+| 反馈内容 | 绿盟威胁分析中心网址失效 |
+| 完成情况 | 已删除 |
+| 完成时间 | 2024-08-06 23:01 |
+| 备注信息 | |
+
+
+
+### 47. 勒索病毒章节-根据勒索病毒类型寻找解决方法中文字错误【文字错误】
+
+| 反馈项 | 反馈信息 |
+| :------- | :--------------------------------------- |
+| 反馈编号 | WYJXY-0047 |
+| 反馈者 | FR33D0M |
+| 反馈时间 | 2024-08-07 10:00 |
+| 反馈途径 | 微信 |
+| 反馈内容 | 瑞星放勒索病毒专题 -> 瑞星防勒索病毒专题 |
+| 完成情况 | 已修复 |
+| 完成时间 | 2024-08-07 21:52 |
+| 备注信息 | |
+
+
+
+### 48. 勒索病毒章节-根据勒索病毒类型寻找解决方法中文字错误【文字错误】
+
+| 反馈项 | 反馈信息 |
+| :------- | :-------------------------------------------------- |
+| 反馈编号 | WYJXY-0048 |
+| 反馈者 | NOP Team |
+| 反馈时间 | 2024-12-24 18:40 |
+| 反馈途径 | 作者自查 |
+| 反馈内容 | 勒索病毒章节-根据勒索病毒类型寻找解决方法中文字错误 |
+| 完成情况 | 已修正 |
+| 完成时间 | 2025-07-16 19:17 |
+| 备注信息 | |
+
+
+
+### 49. 善后阶段-添加RDP可以直接登录的服务器
+
+| 反馈项 | 反馈信息 |
+| :------- | :----------------------------------------------------------- |
+| 反馈编号 | WYJXY-0049 |
+| 反馈者 | NOP Team |
+| 反馈时间 | 2024-12-25 15:02 |
+| 反馈途径 | 作者自查 |
+| 反馈内容 | 善后阶段-定损 部分只体现了ssh密钥直接登录的服务器,建议添加RDP直接连接的服务器 |
+| 完成情况 | 已添加 |
+| 完成时间 | 2025-07-16 19:18 |
+| 备注信息 | |
+
+
+
+### 50. 常规安全排查-添加各安全软件的例外(排除)列表
+
+| 反馈项 | 反馈信息 |
+| :------- | :----------------------------------------------------------- |
+| 反馈编号 | WYJXY-0050 |
+| 反馈者 | NOP Team |
+| 反馈时间 | 2024-12-26 13:30 |
+| 反馈途径 | 作者自查 |
+| 反馈内容 | 常规安全排查部分添加安全软件的白名单检查,也就是所谓的排除列表 |
+| 完成情况 | 已添加 |
+| 完成时间 | 2025-07-16 19:20 |
+| 备注信息 | |
+
+
+
+### 51. 常规安全排查- NTFS备用数据流检查(ADS)
+
+| 反馈项 | 反馈信息 |
+| :------- | :----------------------------------------------------------- |
+| 反馈编号 | WYJXY-0051 |
+| 反馈者 | NOP Team |
+| 反馈时间 | 2025-02-16 17:21 |
+| 反馈途径 | 作者自查 |
+| 反馈内容 | 常规安全排查部分添加关于 NTFS 备用数据流检查,经常被用来规避检查 |
+| 完成情况 | 已完成 |
+| 完成时间 | 2025-07-16 22:23 |
+| 备注信息 | 在 常见问题的解决办法 -> 0x01 文件被隐藏 章节中添加 |
+
+
+
+### 52. 手册搜索乱码+引用字符无法搜索到
+
+| 反馈项 | 反馈信息 |
+| :------- | :----------------------------------------------------------- |
+| 反馈编号 | WYJXY-0052 |
+| 反馈者 | corezon、imemaker |
+| 反馈时间 | 2025-03-05 16:05 |
+| 反馈途径 | 微信公众号私信 |
+| 反馈内容 | 手册搜索乱码 |
+| 完成情况 | 已修复 |
+| 完成时间 | 2025-07-18 02:07 |
+| 备注信息 | markdown 的 `>` 语法中的内容都无法搜索到。但并非完美修复,本质原因还是某些字体缺少部分中文字符 |
+
+
+
+
+
+### 53. 添加 Windows Sandbox 状态检查
+
+| 反馈项 | 反馈信息 |
+| :------- | :-------------------------------- |
+| 反馈编号 | WYJXY-0053 |
+| 反馈者 | megaparsec |
+| 反馈时间 | 2025-04-14 15:18 |
+| 反馈途径 | 微信 |
+| 反馈内容 | 建议添加 Windows Sandbox 状态检查 |
+| 完成情况 | 已添加 |
+| 完成时间 | 2025-07-17 00:30 |
+| 备注信息 | |
+
+
+
+### 54. 敏感文件夹检查-垃圾桶目录
+
+| 反馈项 | 反馈信息 |
+| :------- | :---------------------------------- |
+| 反馈编号 | WYJXY-0054 |
+| 反馈者 | NOPTeam |
+| 反馈时间 | 2025-06-30 18:46 |
+| 反馈途径 | 作者自查 |
+| 反馈内容 | 敏感文件夹检查-垃圾桶目录多了一个 $ |
+| 完成情况 | 已修复 |
+| 完成时间 | 2025-07-17 00:39 |
+| 备注信息 | |
+
+
+
+### 55. AppCertDlls 注册表路径缺少空格
+
+| 反馈项 | 反馈信息 |
+| :------- | :-------------------------------- |
+| 反馈编号 | WYJXY-0055 |
+| 反馈者 | NOPTeam |
+| 反馈时间 | 2025-07-3 10:57 |
+| 反馈途径 | 作者自查 |
+| 反馈内容 | SessionManager -> Session Manager |
+| 完成情况 | 已修复 |
+| 完成时间 | 2025-07-17 00:42 |
+| 备注信息 | |
+
+
+
+
+
+### 56. 近期活动-MUICache添加 Vista之前注册表路径
+
+| 反馈项 | 反馈信息 |
+| :------- | :----------------------------------------------------------- |
+| 反馈编号 | WYJXY-0056 |
+| 反馈者 | NOPTeam |
+| 反馈时间 | 2025-06-29 23:45 |
+| 反馈途径 | 作者自查 |
+| 反馈内容 | 近期活动-MUICache添加 Vista之前注册表路径 |
+| 完成情况 | 已添加 |
+| 完成时间 | 2025-07-17 00:44 |
+| 备注信息 | `HKEY_USERS\\Software\Microsoft\Windows\ShellNoRoam\MUICache` `HKEY_USERS\\Software\Microsoft\Windows\CurrentVersion\Explorer\MUICache` `HKEY_USERS\\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache` |
+
+
+
+### 57. 近期活动-Jump List添加应用自定义的跳转项
+
+| 反馈项 | 反馈信息 |
+| :------- | :----------------------------------------------------------- |
+| 反馈编号 | WYJXY-0057 |
+| 反馈者 | NOPTeam |
+| 反馈时间 | 2025-06-30 01:00 |
+| 反馈途径 | 作者自查 |
+| 反馈内容 | 近期活动-Jump List添加应用自定义的跳转项 |
+| 完成情况 | 已添加 |
+| 完成时间 | 2025-07-17 00:45 |
+| 备注信息 | `C:\Users\<用户名>\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\` |
+
+
+
+
+
+### 58. 189页文字错误
+
+| 反馈项 | 反馈信息 |
+| :------- | :----------------- |
+| 反馈编号 | WYJXY-0058 |
+| 反馈者 | NOPTeam |
+| 反馈时间 | 2025-07-14 04:18 |
+| 反馈途径 | xxxr_sec |
+| 反馈内容 | 189页 才用 -> 采用 |
+| 完成情况 | 已修复 |
+| 完成时间 | 2025-07-17 00:46 |
+| 备注信息 | |
+
+
+
+### 59. 各个事件处置流程添加流程图
+
+| 反馈项 | 反馈信息 |
+| :------- | :--------------- |
+| 反馈编号 | WYJXY-0059 |
+| 反馈者 | NOPTeam |
+| 反馈时间 | 2025-07-17 23:00 |
+| 反馈途径 | 作者自查 |
+| 反馈内容 | 添加流程图 |
+| 完成情况 | 已添加 |
+| 完成时间 | 2025-07-18 00:06 |
+| 备注信息 | |
+
+
+
+### 60. 添加目录
+
+| 反馈项 | 反馈信息 |
+| :------- | :--------------- |
+| 反馈编号 | WYJXY-0060 |
+| 反馈者 | NOPTeam |
+| 反馈时间 | 2025-07-17 23:02 |
+| 反馈途径 | 作者自查 |
+| 反馈内容 | 为手册添加目录 |
+| 完成情况 | 已添加 |
+| 完成时间 | 2025-07-18 02:07 |
+| 备注信息 | |
+