admin/Windows-INCIDENT-RESPONSE-COOKBOOK
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Windows 应急响应手册v1.2

Browse Source
This commit is contained in:
test94
2024-07-10 13:23:16 +08:00
parent 9133080e21
commit 58eb59989a
1 changed files with 358 additions and 26 deletions
Download Patch File Download Diff File Expand all files Collapse all files

384
用户反馈列表.md
View File

@@ -4,7 +4,7 @@
## 1. 寻找恶意样本部分 【文字错误】
### 1. 寻找恶意样本部分 【文字错误】
| 反馈项 | 反馈信息 |
| :------- | :--------------------------- |
@@ -15,10 +15,11 @@
| 反馈内容 | 将一下内容改为将**以下**内容 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-02-06 19:28 |
| 备注信息 | |
## 2. 威胁分析部分 【平台名称错误】
### 2. 威胁分析部分 【平台名称错误】
| 反馈项 | 反馈信息 |
| :------- | :--------------------------------------------- |
@@ -29,10 +30,11 @@
| 反馈内容 | 将 PCHunter 修改为安芯网盾未知威胁文件检测系统 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-02-06 19:28 |
| 备注信息 | |
## 3. 添加 OpenArk 工具
### 3. 添加 OpenArk 工具
| 反馈项 | 反馈信息 |
| :------- | :-------------------- |
@@ -43,10 +45,11 @@
| 反馈内容 | 考虑添加 OpenArk 工具 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-03-06 17:43 |
| 备注信息 | |
## 4. 添加 Defender 日志
### 4. 添加 Defender 日志
| 反馈项 | 反馈信息 |
| :------- | :----------------------------- |
@@ -57,10 +60,11 @@
| 反馈内容 | 日志分析部分添加 defender 日志 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-03-05 00:13 |
| 备注信息 | |
## 5. 添加二进制文件执行日志
### 5. 添加二进制文件执行日志
| 反馈项 | 反馈信息 |
| :------- | :-------------------------------- |
@@ -71,10 +75,11 @@
| 反馈内容 | 添加 Windows 历史运行程序排查方法 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-03-06 00:06 |
| 备注信息 | |
## 6. 完善部分 Windows 事件及 ID
### 6. 完善部分 Windows 事件及 ID
| 反馈项 | 反馈信息 |
| :------- | :-------------------------------- |
@@ -85,10 +90,11 @@
| 反馈内容 | 补充部分协议及服务的 Windows 日志 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-03-06 22:56 |
| 备注信息 | |
## 7. 谁决定计划任务的执行结果部分【文字错误】
### 7. 谁决定计划任务的执行结果部分【文字错误】
| 反馈项 | 反馈信息 |
| :------- | :--------------- |
@@ -99,10 +105,11 @@
| 反馈内容 | `小时` -> `消失` |
| 完成情况 | 已修复 |
| 完成时间 | 2024-03-05 00:15 |
| 备注信息 | |
## 8. 添加痕迹查看工具
### 8. 添加痕迹查看工具
| 反馈项 | 反馈信息 |
| :------- | :---------------------------------------------- |
@@ -113,10 +120,11 @@
| 反馈内容 | 添加YDArk、LastActivityView |
| 完成情况 | 已添加 LastActivityViewYDArk 不开源,暂不添加 |
| 完成时间 | 2024-03-05 20:15 |
| 备注信息 | |
## 9. 完善小技巧查找文件部分
### 9. 完善小技巧查找文件部分
| 反馈项 | 反馈信息 |
| :------- | :----------------------------- |
@@ -127,10 +135,11 @@
| 反馈内容 | 添加命令行以及 everything 语法 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-03-05 17:53 |
| 备注信息 | |
## 10. 添加深信服僵尸网络查杀工具
### 10. 添加深信服僵尸网络查杀工具
| 反馈项 | 反馈信息 |
| :------- | :------------------------- |
@@ -141,10 +150,11 @@
| 反馈内容 | 添加深信服僵尸网络查杀工具 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-03-06 17:14 |
| 备注信息 | |
## 11. 添加 SQL Server 应急分析
### 11. 添加 SQL Server 应急分析
| 反馈项 | 反馈信息 |
| :------- | :----------------------- |
@@ -153,12 +163,13 @@
| 反馈时间 | 2024-02-10 07:12 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加 SQL Server 应急分析 |
| 完成情况 | 暂未添加,打算后续做专题 |
| 完成时间 | 2024-03-07 15:06 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-10 00:43 |
| 备注信息 | |
## 12. 完善二进制程序校验逻辑
### 12. 完善二进制程序校验逻辑
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------- |
@@ -169,10 +180,11 @@
| 反馈内容 | 验证签名通过后应该进一步验证签名发布者是否为微软 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-03-06 23:59 |
| 备注信息 | |
## 13. 修改 powershell 为 Powershell 【美化】
### 13. 修改 powershell 为 Powershell 【美化】
| 反馈项 | 反馈信息 |
| :------- | :---------------------------------------------- |
@@ -183,24 +195,26 @@
| 反馈内容 | 出于美观需求,将 `powershell` 写成 `Powershell` |
| 完成情况 | 已完成 |
| 完成时间 | 2024-03-04 16:27 |
| 备注信息 | |
## 14. 添加 beaconEye 工具
### 14. 添加 beaconEye 工具
| 反馈项 | 反馈信息 |
| :------- | :---------------------------- |
| 反馈编号 | WYJXY-0014 |
| 反馈者 | 爱做梦的大米饭 |
| 反馈时间 | 2024-03-05 11:09 |
| 反馈途径 | 微信 |
| 反馈内容 | 根据 Yara 检测恶意程序 |
| 完成情况 | 暂不添加工具已经3年未更新 |
| 完成时间 | 2024-03-07 00:11 |
| 反馈项 | 反馈信息 |
| :------- | :--------------------- |
| 反馈编号 | WYJXY-0014 |
| 反馈者 | 爱做梦的大米饭 |
| 反馈时间 | 2024-03-05 11:09 |
| 反馈途径 | 微信 |
| 反馈内容 | 根据 Yara 检测恶意程序 |
| 完成情况 | 暂不添加 |
| 完成时间 | 2024-03-07 00:11 |
| 备注信息 | 工具已经3年未更新 |
## 15. 新建 Windows 近期活动检查项
### 15. 新建 Windows 近期活动检查项
| 反馈项 | 反馈信息 |
| :------- | :------------------------------------ |
@@ -211,4 +225,322 @@
| 反馈内容 | 增加近期Windows活动以及二进制执行记录 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-03-06 00:08 |
| 备注信息 | |
### 16. 添加 360系统急救箱
| 反馈项 | 反馈信息 |
| :------- | :---------------------------------- |
| 反馈编号 | WYJXY-0016 |
| 反馈者 | megaparsec |
| 反馈时间 | 2024-03-23 19:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 杀毒软件推荐 360系统急救箱 |
| 完成情况 | 暂不添加 |
| 完成时间 | 2024-03-23 20:23 |
| 备注信息 | 不适用于服务器系统且不比360杀毒强 |
### 17. 添加文件时占用强制删除
| 反馈项 | 反馈信息 |
| :------- | :--------------------------------------------------- |
| 反馈编号 | WYJXY-0017 |
| 反馈者 | megaparsec |
| 反馈时间 | 2024-03-23 19:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 存在文件占用时无法强制删除可以使用IObit Unlocker |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-06 17:59 |
| 备注信息 | |
### 18. 添加使用沙箱
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------- |
| 反馈编号 | WYJXY-0018 |
| 反馈者 | megaparsec |
| 反馈时间 | 2024-03-23 19:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 鉴定样本可以借助沙箱,如果允许样本上传的话 |
| 完成情况 | 已忽略 |
| 完成时间 | 2024-03-23 19:54 |
| 备注信息 | 手册中已包含沙箱相关内容 |
### 19. 添加 Rookit 的排查应急
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------- |
| 反馈编号 | WYJXY-0019 |
| 反馈者 | megaparsec |
| 反馈时间 | 2024-03-23 19:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 增加 Rookit 的排查应急 |
| 完成情况 | 暂未添加 |
| 完成时间 | 2024-03-23 20:23 |
| 备注信息 | 需要大家主动提供案例,使用网络上的案例可能会侵权 |
### 20. 建议给pdf增加目录
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0020 |
| 反馈者 | zer07z |
| 反馈时间 | 2024-03-18 11:10 |
| 反馈途径 | Github Issues |
| 反馈内容 | pdf增加目录增加应急响应check list |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-10 12:30 |
| 备注信息 | 手册本身是有目录(标签)以及check list的目录由PDF阅读软件自动生成如果在页面中显式放入目录单单目录就会占用前 30 多页内容,会给大家阅读带来障碍,**之前版本由于 MacOS 预览程序添加封面后与火狐浏览器以及Adobe acrobat DC不兼容导致不显示内容或目录**<br />常规安全检查部分就是所谓的 check list |
### 21. 手册显示空白&不显示目录导航
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0021 |
| 反馈者 | value-0 |
| 反馈时间 | 2024-03-19 17:28 |
| 反馈途径 | Github Issues |
| 反馈内容 | 火狐打开手册显示空白Adobe acrobat DC打开手册不显示目录导航 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-10 12:30 |
| 备注信息 | **由于 MacOS 预览程序添加封面后与火狐浏览器以及Adobe acrobat DC不兼容导致不显示内容或目录** |
### 22. 完善二进制校验脚本
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0022 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-03-25 11:25 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 0x16 服务程序 -> 11. 进阶性排查中二进制校验脚本提取路径存在问题,遇到空格会截断 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-07-06 23:52 |
| 备注信息 | |
### 23. 添加勒索病毒相关处理逻辑
| 反馈项 | 反馈信息 |
| :------- | :------------------- |
| 反馈编号 | WYJXY-0023 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-03-26 15:09 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 完善勒索病毒处理流程 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-07-07 22:29 |
| 备注信息 | |
### 24. 添加修改 hosts 文件的示例
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0024 |
| 反馈者 | 郑炼俊 |
| 反馈时间 | 2024-06-18 17:13 |
| 反馈途径 | 微信 |
| 反馈内容 | 远控后门->流量检测->地址诱骗章节完善修改 hosts 部分描述,添加图片示例 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-06 16:30 |
| 备注信息 | |
### 25. 手册无法搜索
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------- |
| 反馈编号 | WYJXY-0025 |
| 反馈者 | Heraxt |
| 反馈时间 | 2024-07-04 10:19 |
| 反馈途径 | 微信 |
| 反馈内容 | 手册在Windows平台不能直接搜索 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-10 12:30 |
| 备注信息 | Typora Mint 主题导致,通过修改源代码已修复 |
### 26. 杀死进程树部分【文字错误】
| 反馈项 | 反馈信息 |
| :------- | :------------------- |
| 反馈编号 | WYJXY-0026 |
| 反馈者 | 路人甲 |
| 反馈时间 | 2024-06-27 15:01 |
| 反馈途径 | 公众号留言 |
| 反馈内容 | cmd.txt 改为 cmd.exe |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-06 16:24 |
| 备注信息 | |
### 27. 增加隧道处置流程
| 反馈项 | 反馈信息 |
| :------- | :--------------- |
| 反馈编号 | WYJXY-0027 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-07 22:31 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 增加隧道处置流程 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-07 22:46 |
| 备注信息 | |
### 28. 勒索病毒处置部分【文字错误】
| 反馈项 | 反馈信息 |
| :------- | :--------------- |
| 反馈编号 | WYJXY-0028 |
| 反馈者 | xxxr_sec |
| 反馈时间 | 2024-05-16 12:25 |
| 反馈途径 | 微信 |
| 反馈内容 | 收到 -> 受到 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-07 22:58 |
| 备注信息 | |
### 29. 添加日志分析工具 —— **FullEventLogView**
| 反馈项 | 反馈信息 |
| :------- | :-------------------------------- |
| 反馈编号 | WYJXY-0029 |
| 反馈者 | xxxr_sec、NOP Team |
| 反馈时间 | 2024-05-16 13:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加日志分析工具 FullEventLogView |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-07 23:46 |
| 备注信息 | |
### 30. 添加文本对比工具
| 反馈项 | 反馈信息 |
| :------- | :------------------------------------------------------ |
| 反馈编号 | WYJXY-0030 |
| 反馈者 | xxxr_sec |
| 反馈时间 | 2024-05-16 13:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加文本对比工具 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-07 23:45 |
| 备注信息 | 添加了 He3 ,除了文本对比功能外,支持大量的编解码等功能 |
### 31. 添加应用系统和中间件的暴力破解
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0031 |
| 反馈者 | xxxr_sec |
| 反馈时间 | 2024-05-16 13:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 暴力破解模块中是否考虑添加针对应用系统或中间件暴力破解的内容 |
| 完成情况 | 已忽略 |
| 完成时间 | 2024-05-06 13:53 |
| 备注信息 | 特定的应用程序已经有了中间件属于Web范畴在将来的 Web 应急响应手册中会涉及 |
### 32. 添加流量监控工具
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0032 |
| 反馈者 | xxxr_sec |
| 反馈时间 | 2024-05-16 13:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 是否会添加流量监控工具 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-07 23:09 |
| 备注信息 | 添加了 Netsh 和 Wireshark由于 MMA 已经停止开发,暂时不加进去 |
### 33. 添加内网文件传输工具
| 反馈项 | 反馈信息 |
| :------- | :-------------------------------------------------- |
| 反馈编号 | WYJXY-0033 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-04-29 20:44 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 考虑无法使用U盘传输文件的情况添加内网文件传输工具 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-08 13:36 |
| 备注信息 | |
### 34. 添加证书排查
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------- |
| 反馈编号 | WYJXY-0034 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-03-14 15:00 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加对证书的排查,如果存在恶意证书可能导致其他排查失效 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-08 17:06 |
| 备注信息 | |
### 35. 添加钓鱼排查流程
| 反馈项 | 反馈信息 |
| :------- | :--------------- |
| 反馈编号 | WYJXY-0035 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-05-02 19:25 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 增加钓鱼排查流程 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-09 00:00 |
| 备注信息 | |
### 36. 添加 badusb 类事件排查流程
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | WYJXY-0036 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-03-06 21:46 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加 badusb 类事件排查流程 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-09 02:31 |
| 备注信息 | 手册中案例是使用鼠标模拟 badusb ,如果有 badusb ,日志分析可能更准确 |