42 KiB
42 KiB
在反馈过程中,除了 Github 上提交的反馈,我们都会询问是否公开反馈者信息,没有取得明确回复可以公开的情况下,以
路人甲代表微信公众号无法主动留言,导致部分反馈者没能联系上,朋友们如果看到自己的反馈以
路人甲代表,可以联系我们修改
1. 寻找恶意样本部分 【文字错误】
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0001 |
| 反馈者 | 路人甲 |
| 反馈时间 | 2024-02-06 11:07 |
| 反馈途径 | 公众号留言 |
| 反馈内容 | 将一下内容改为将以下内容 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-02-06 19:28 |
| 备注信息 |
2. 威胁分析部分 【平台名称错误】
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0002 |
| 反馈者 | safefox |
| 反馈时间 | 2024-02-06 17:38 |
| 反馈途径 | 微信 |
| 反馈内容 | 将 PCHunter 修改为安芯网盾未知威胁文件检测系统 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-02-06 19:28 |
| 备注信息 |
3. 添加 OpenArk 工具
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0003 |
| 反馈者 | safefox |
| 反馈时间 | 2024-02-06 17:38 |
| 反馈途径 | 微信 |
| 反馈内容 | 考虑添加 OpenArk 工具 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-03-06 17:43 |
| 备注信息 |
4. 添加 Defender 日志
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0004 |
| 反馈者 | safefox |
| 反馈时间 | 2024-02-06 17:38 |
| 反馈途径 | 微信 |
| 反馈内容 | 日志分析部分添加 defender 日志 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-03-05 00:13 |
| 备注信息 |
5. 添加二进制文件执行日志
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0005 |
| 反馈者 | safefox |
| 反馈时间 | 2024-02-06 17:50 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加 Windows 历史运行程序排查方法 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-03-06 00:06 |
| 备注信息 |
6. 完善部分 Windows 事件及 ID
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0006 |
| 反馈者 | safefox |
| 反馈时间 | 2024-02-19 13:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 补充部分协议及服务的 Windows 日志 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-03-06 22:56 |
| 备注信息 |
7. 谁决定计划任务的执行结果部分【文字错误】
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0007 |
| 反馈者 | safefox |
| 反馈时间 | 2024-02-19 14:19 |
| 反馈途径 | 微信 |
| 反馈内容 | 小时 -> 消失 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-03-05 00:15 |
| 备注信息 |
8. 添加痕迹查看工具
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0008 |
| 反馈者 | 爱做梦的大米饭 |
| 反馈时间 | 2024-02-10 07:12 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加YDArk、LastActivityView |
| 完成情况 | 已添加 LastActivityView,YDArk 不开源,暂不添加 |
| 完成时间 | 2024-03-05 20:15 |
| 备注信息 |
9. 完善小技巧查找文件部分
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0009 |
| 反馈者 | 爱做梦的大米饭 |
| 反馈时间 | 2024-02-10 07:12 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加命令行以及 everything 语法 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-03-05 17:53 |
| 备注信息 |
10. 添加深信服僵尸网络查杀工具
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0010 |
| 反馈者 | 路人甲、爱做梦的大米饭 |
| 反馈时间 | 2024-02-4 09:01 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加深信服僵尸网络查杀工具 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-03-06 17:14 |
| 备注信息 |
11. 添加 SQL Server 应急分析
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0011 |
| 反馈者 | 爱做梦的大米饭 |
| 反馈时间 | 2024-02-10 07:12 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加 SQL Server 应急分析 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-10 00:43 |
| 备注信息 |
12. 完善二进制程序校验逻辑
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0012 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2024-03-01 20:54 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 验证签名通过后应该进一步验证签名发布者是否为微软 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-03-06 23:59 |
| 备注信息 |
13. 修改 powershell 为 Powershell 【美化】
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0013 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2024-03-04 16:20 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 出于美观需求,将 powershell 写成 Powershell |
| 完成情况 | 已完成 |
| 完成时间 | 2024-03-04 16:27 |
| 备注信息 |
14. 添加 beaconEye 工具
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0014 |
| 反馈者 | 爱做梦的大米饭 |
| 反馈时间 | 2024-03-05 11:09 |
| 反馈途径 | 微信 |
| 反馈内容 | 根据 Yara 检测恶意程序 |
| 完成情况 | 暂不添加 |
| 完成时间 | 2024-03-07 00:11 |
| 备注信息 | 工具已经3年未更新 |
15. 新建 Windows 近期活动检查项
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0015 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2024-03-01 20:54 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 增加近期Windows活动以及二进制执行记录 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-03-06 00:08 |
| 备注信息 |
16. 添加 360系统急救箱
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0016 |
| 反馈者 | megaparsec |
| 反馈时间 | 2024-03-23 19:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 杀毒软件推荐 360系统急救箱 |
| 完成情况 | 暂不添加 |
| 完成时间 | 2024-03-23 20:23 |
| 备注信息 | 不适用于服务器系统,且不比360杀毒强 |
17. 添加文件时占用强制删除
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0017 |
| 反馈者 | megaparsec |
| 反馈时间 | 2024-03-23 19:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 存在文件占用时,无法强制删除,可以使用IObit Unlocker |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-06 17:59 |
| 备注信息 |
18. 添加使用沙箱
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0018 |
| 反馈者 | megaparsec |
| 反馈时间 | 2024-03-23 19:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 鉴定样本可以借助沙箱,如果允许样本上传的话 |
| 完成情况 | 已忽略 |
| 完成时间 | 2024-03-23 19:54 |
| 备注信息 | 手册中已包含沙箱相关内容 |
19. 添加 Rookit 的排查应急
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0019 |
| 反馈者 | megaparsec |
| 反馈时间 | 2024-03-23 19:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 增加 Rookit 的排查应急 |
| 完成情况 | 暂未添加 |
| 完成时间 | 2024-03-23 20:23 |
| 备注信息 | 需要大家主动提供案例,使用网络上的案例可能会侵权 |
20. 建议给pdf增加目录
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0020 |
| 反馈者 | zer07z |
| 反馈时间 | 2024-03-18 11:10 |
| 反馈途径 | Github Issues |
| 反馈内容 | pdf增加目录;增加应急响应check list |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-10 12:30 |
| 备注信息 | 手册本身是有目录(标签)以及check list的,目录由PDF阅读软件自动生成,如果在页面中显式放入目录,单单目录就会占用前 30 多页内容,会给大家阅读带来障碍,之前版本由于 MacOS 预览程序添加封面后与火狐浏览器以及Adobe acrobat DC不兼容,导致不显示内容或目录 常规安全检查部分就是所谓的 check list |
21. 手册显示空白&不显示目录导航
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0021 |
| 反馈者 | value-0 |
| 反馈时间 | 2024-03-19 17:28 |
| 反馈途径 | Github Issues |
| 反馈内容 | 火狐打开手册显示空白;Adobe acrobat DC打开手册不显示目录导航 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-10 12:30 |
| 备注信息 | 由于 MacOS 预览程序添加封面后与火狐浏览器以及Adobe acrobat DC不兼容,导致不显示内容或目录 |
22. 完善二进制校验脚本
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0022 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-03-25 11:25 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 0x16 服务程序 -> 11. 进阶性排查中二进制校验脚本提取路径存在问题,遇到空格会截断 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-07-06 23:52 |
| 备注信息 |
23. 添加勒索病毒相关处理逻辑
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0023 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-03-26 15:09 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 完善勒索病毒处理流程 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-07-07 22:29 |
| 备注信息 |
24. 添加修改 hosts 文件的示例
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0024 |
| 反馈者 | 郑炼俊 |
| 反馈时间 | 2024-06-18 17:13 |
| 反馈途径 | 微信 |
| 反馈内容 | 远控后门->流量检测->地址诱骗章节完善修改 hosts 部分描述,添加图片示例 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-06 16:30 |
| 备注信息 |
25. 手册无法搜索
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0025 |
| 反馈者 | Heraxt |
| 反馈时间 | 2024-07-04 10:19 |
| 反馈途径 | 微信 |
| 反馈内容 | 手册在Windows平台不能直接搜索 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-10 12:30 |
| 备注信息 | Typora Mint 主题导致,通过修改源代码已修复 |
26. 杀死进程树部分【文字错误】
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0026 |
| 反馈者 | 路人甲 |
| 反馈时间 | 2024-06-27 15:01 |
| 反馈途径 | 公众号留言 |
| 反馈内容 | cmd.txt 改为 cmd.exe |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-06 16:24 |
| 备注信息 |
27. 增加隧道处置流程
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0027 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-07 22:31 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 增加隧道处置流程 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-07 22:46 |
| 备注信息 |
28. 勒索病毒处置部分【文字错误】
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0028 |
| 反馈者 | xxxr_sec |
| 反馈时间 | 2024-05-16 12:25 |
| 反馈途径 | 微信 |
| 反馈内容 | 收到 -> 受到 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-07 22:58 |
| 备注信息 |
29. 添加日志分析工具 —— FullEventLogView
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0029 |
| 反馈者 | xxxr_sec、NOP Team |
| 反馈时间 | 2024-05-16 13:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加日志分析工具 FullEventLogView |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-07 23:46 |
| 备注信息 |
30. 添加文本对比工具
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0030 |
| 反馈者 | xxxr_sec |
| 反馈时间 | 2024-05-16 13:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加文本对比工具 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-07 23:45 |
| 备注信息 | 添加了 He3 ,除了文本对比功能外,支持大量的编解码等功能 |
31. 添加应用系统和中间件的暴力破解
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0031 |
| 反馈者 | xxxr_sec |
| 反馈时间 | 2024-05-16 13:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 暴力破解模块中是否考虑添加针对应用系统或中间件暴力破解的内容 |
| 完成情况 | 已忽略 |
| 完成时间 | 2024-05-06 13:53 |
| 备注信息 | 特定的应用程序已经有了,中间件属于Web范畴,在将来的 Web 应急响应手册中会涉及 |
32. 添加流量监控工具
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0032 |
| 反馈者 | xxxr_sec |
| 反馈时间 | 2024-05-16 13:53 |
| 反馈途径 | 微信 |
| 反馈内容 | 是否会添加流量监控工具 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-07 23:09 |
| 备注信息 | 添加了 Netsh 和 Wireshark,由于 MMA 已经停止开发,暂时不加进去 |
33. 添加内网文件传输工具
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0033 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-04-29 20:44 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 考虑无法使用U盘传输文件的情况,添加内网文件传输工具 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-08 13:36 |
| 备注信息 |
34. 添加证书排查
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0034 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-03-14 15:00 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加对证书的排查,如果存在恶意证书可能导致其他排查失效 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-08 17:06 |
| 备注信息 |
35. 添加钓鱼排查流程
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0035 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-05-02 19:25 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 增加钓鱼排查流程 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-09 00:00 |
| 备注信息 |
36. 添加 badusb 类事件排查流程
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0036 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-03-06 21:46 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加 badusb 类事件排查流程 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-09 02:31 |
| 备注信息 | 手册中案例是使用鼠标模拟 badusb ,如果有 badusb ,日志分析可能更准确 |
37. 重复内容较多
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0037 |
| 反馈者 | 独眼情报 |
| 反馈时间 | 2024-07-10 13:33 |
| 反馈途径 | 公众号文章留言 |
| 反馈内容 | 重复内容太多,工具没必要分功能举例,建议一次性把工具功能讲透 |
| 完成情况 | 已注意 |
| 完成时间 | 2024-07-10 13:44 |
| 备注信息 | 冗余是因为手册整体按照真实事件处理流程来写的,而不是文章或者教程,出现冗余是正常的,本次更新内容已经注意到该问题,尽可能采用引用的方式规避荣誉问题 至于工具功能,后期可能出专题 |
38. 没有对应的练习环境
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0038 |
| 反馈者 | 大灰狼、来包二重积分 |
| 反馈时间 | 2024-07-10 13:57 |
| 反馈途径 | 公众号文章留言 |
| 反馈内容 | 没有对应的练习环境 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-11 13:55 |
| 备注信息 | 已在公众号公开募集应急响应靶场环境 |
39. Windows 路径空格问题排查
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0039 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-11 16:49 |
| 反馈途径 | 作者自查 |
| 反馈内容 | Windows遇到空格可能会有解析问题,应该找出所有可能存在解析问题的地址,之后看一下默认存在解析问题情况下解析到的文件是否存在,将所有的记录下来 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-17 22:20 |
| 备注信息 | https://github.com/Just-Hack-For-Fun/Check_Path_Blank |
40. 如何保护现场
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0040 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-11 17:41 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 发生应急事件时如何保护现场 |
| 完成情况 | 已完成 |
| 完成时间 | 2025-07-16 18:05 |
| 备注信息 |
41. rundll32 具体运行了哪些dll
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0041 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-11 17:48 |
| 反馈途径 | 作者自查 |
| 反馈内容 | rundll32 到底运行了哪些dll |
| 完成情况 | 暂时忽略 |
| 完成时间 | 2025-07-17 22:52 |
| 备注信息 | 作者也不记得当时这个反馈到底是为了什么了,这个标题内容完全可以通过看进程启动参数和线程信息来看。后续再遇到再添加吧。 |
42. 修改 pathext 是否可以将其他后缀当exe 执行
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0042 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-11 17:52 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 修改 pathext 是否可以将其他后缀当exe 执行 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-16 18:39 |
| 备注信息 | 修改 pathext 只会修改查找顺序,在 cmd 中可以执行任意后缀的二进制文件,例如 bin、txt |
43. 完善挖矿病毒处置流程
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0043 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-17 11:00 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 目前挖矿主流方式都是无文件的,一般会有一个木马下载器或者前置进程触发器,不断的把poweshell以system权限拉起来 |
| 完成情况 | 已完成 |
| 完成时间 | 2025-07-16 19:02 |
| 备注信息 | 目前仅作说明,后续可能会积攒案例后提取公共处理方法 |
44. 添加域控的应急排查
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0044 |
| 反馈者 | PseuDo15 |
| 反馈时间 | 2024-08-02 14:53 |
| 反馈途径 | 微信公众号文章留言 |
| 反馈内容 | 添加域控的应急排查 |
| 完成情况 | |
| 完成时间 | |
| 备注信息 | 积攒资料过程中,可能在后续版本单独做章节说明 |
45. 安芯网盾的在线查杀网址失效
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0045 |
| 反馈者 | FR33D0M |
| 反馈时间 | 2024-08-06 16:45 |
| 反馈途径 | 微信 |
| 反馈内容 | 安芯网盾的在线查杀网址失效 |
| 完成情况 | 已删除 |
| 完成时间 | 2024-08-06 22:54 |
| 备注信息 |
46. 绿盟威胁分析中心网址失效
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0046 |
| 反馈者 | FR33D0M |
| 反馈时间 | 2024-08-06 16:59 |
| 反馈途径 | 微信 |
| 反馈内容 | 绿盟威胁分析中心网址失效 |
| 完成情况 | 已删除 |
| 完成时间 | 2024-08-06 23:01 |
| 备注信息 |
47. 勒索病毒章节-根据勒索病毒类型寻找解决方法中文字错误【文字错误】
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0047 |
| 反馈者 | FR33D0M |
| 反馈时间 | 2024-08-07 10:00 |
| 反馈途径 | 微信 |
| 反馈内容 | 瑞星放勒索病毒专题 -> 瑞星防勒索病毒专题 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-08-07 21:52 |
| 备注信息 |
48. 勒索病毒章节-根据勒索病毒类型寻找解决方法中文字错误【文字错误】
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0048 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-12-24 18:40 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 勒索病毒章节-根据勒索病毒类型寻找解决方法中文字错误 |
| 完成情况 | 已修正 |
| 完成时间 | 2025-07-16 19:17 |
| 备注信息 |
49. 善后阶段-添加RDP可以直接登录的服务器
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0049 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-12-25 15:02 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 善后阶段-定损 部分只体现了ssh密钥直接登录的服务器,建议添加RDP直接连接的服务器 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-16 19:18 |
| 备注信息 |
50. 常规安全排查-添加各安全软件的例外(排除)列表
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0050 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-12-26 13:30 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 常规安全排查部分添加安全软件的白名单检查,也就是所谓的排除列表 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-16 19:20 |
| 备注信息 |
51. 常规安全排查- NTFS备用数据流检查(ADS)
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0051 |
| 反馈者 | NOP Team |
| 反馈时间 | 2025-02-16 17:21 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 常规安全排查部分添加关于 NTFS 备用数据流检查,经常被用来规避检查 |
| 完成情况 | 已完成 |
| 完成时间 | 2025-07-16 22:23 |
| 备注信息 | 在 常见问题的解决办法 -> 0x01 文件被隐藏 章节中添加 |
52. 手册搜索乱码+引用字符无法搜索到
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0052 |
| 反馈者 | corezon、imemaker |
| 反馈时间 | 2025-03-05 16:05 |
| 反馈途径 | 微信公众号私信 |
| 反馈内容 | 手册搜索乱码 |
| 完成情况 | 已修复 |
| 完成时间 | 2025-07-18 02:07 |
| 备注信息 | markdown 的 > 语法中的内容都无法搜索到。但并非完美修复,本质原因还是某些字体缺少部分中文字符 |
53. 添加 Windows Sandbox 状态检查
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0053 |
| 反馈者 | megaparsec |
| 反馈时间 | 2025-04-14 15:18 |
| 反馈途径 | 微信 |
| 反馈内容 | 建议添加 Windows Sandbox 状态检查 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-17 00:30 |
| 备注信息 |
54. 敏感文件夹检查-垃圾桶目录
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0054 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2025-06-30 18:46 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 敏感文件夹检查-垃圾桶目录多了一个 $ |
| 完成情况 | 已修复 |
| 完成时间 | 2025-07-17 00:39 |
| 备注信息 |
55. AppCertDlls 注册表路径缺少空格
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0055 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2025-07-3 10:57 |
| 反馈途径 | 作者自查 |
| 反馈内容 | SessionManager -> Session Manager |
| 完成情况 | 已修复 |
| 完成时间 | 2025-07-17 00:42 |
| 备注信息 |
56. 近期活动-MUICache添加 Vista之前注册表路径
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0056 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2025-06-29 23:45 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 近期活动-MUICache添加 Vista之前注册表路径 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-17 00:44 |
| 备注信息 | HKEY_USERS\<sid>\Software\Microsoft\Windows\ShellNoRoam\MUICache HKEY_USERS\<sid>\Software\Microsoft\Windows\CurrentVersion\Explorer\MUICache HKEY_USERS\<sid>\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache |
57. 近期活动-Jump List添加应用自定义的跳转项
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0057 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2025-06-30 01:00 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 近期活动-Jump List添加应用自定义的跳转项 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-17 00:45 |
| 备注信息 | C:\Users\<用户名>\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\ |
58. 189页文字错误
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0058 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2025-07-14 04:18 |
| 反馈途径 | xxxr_sec |
| 反馈内容 | 189页 才用 -> 采用 |
| 完成情况 | 已修复 |
| 完成时间 | 2025-07-17 00:46 |
| 备注信息 |
59. 各个事件处置流程添加流程图
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0059 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2025-07-17 23:00 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加流程图 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-18 00:06 |
| 备注信息 |
60. 添加目录
| 反馈项 | 反馈信息 |
|---|---|
| 反馈编号 | WYJXY-0060 |
| 反馈者 | NOPTeam |
| 反馈时间 | 2025-07-17 23:02 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 为手册添加目录 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-07-18 02:07 |
| 备注信息 |