正文

Windows 应急响应手册 v1.3 发布!

admin
admin V管理员 /0 评论 /8 阅读
0728
文章最后更新时间2025年07月28日,若文章内容或图片失效,请留言反馈!

简介

大家好,《Windows 应急响应手册 v1.3》 发布啦!

下载链接在文末

本次更新添加了以下内容:

  • 应急手册添加了目录
  • 各个应急事件处置流程添加了流程图
  • 各个应急事件处置流程添加了固定证据部分
  • 添加 pathext 环境变量排查
  • 添加 Windows 平台路径存在空格可能带来的劫持排查
  • 添加 NTFS 备用数据流(ADS)检查
  • 添加 Windows Sandbox 检查

本次更新完善了以下内容:

  • 完善近期活动部分内容
  • 完善杀毒软件排查部分注意事项
  • 完善善后阶段

本次更新修复了以下内容:

  • 修复了手册引用内容复制乱码、搜索不到的问题

    这部分并未完全修复,本质原因是字体中缺少某些中文字符

  • 修复了部分注册表错误

  • 删除部分失效链接

  • 修复了部分文字错误

大家的反馈对这本手册的发展很重要,我们将大家的反馈信息列表放在了下面,我们将下载链接放在文末就是希望大家可以看到提供反馈的用户以及具体反馈的内容,也是我们对于反馈的朋友们的公开回复,感谢大家反馈~

更新日记

用户反馈列表

37.  重复内容较多

反馈项
反馈信息
反馈编号
WYJXY-0037
反馈者
独眼情报
反馈时间
2024-07-10 13:33
反馈途径
公众号文章留言
反馈内容
重复内容太多,工具没必要分功能举例,建议一次性把工具功能讲透
完成情况
已注意
完成时间
2024-07-10 13:44
备注信息
冗余是因为手册整体按照真实事件处理流程来写的,而不是文章或者教程,出现冗余是正常的,本次更新内容已经注意到该问题,尽可能采用引用的方式规避荣誉问题至于工具功能,后期可能出专题

38.  没有对应的练习环境

反馈项
反馈信息
反馈编号
WYJXY-0038
反馈者
大灰狼、来包二重积分
反馈时间
2024-07-10 13:57
反馈途径
公众号文章留言
反馈内容
没有对应的练习环境
完成情况
已完成
完成时间
2024-07-11 13:55
备注信息
已在公众号公开募集应急响应靶场环境

39.  Windows 路径空格问题排查

反馈项
反馈信息
反馈编号
WYJXY-0039
反馈者
NOP Team
反馈时间
2024-07-11 16:49
反馈途径
作者自查
反馈内容
Windows遇到空格可能会有解析问题,应该找出所有可能存在解析问题的地址,之后看一下默认存在解析问题情况下解析到的文件是否存在,将所有的记录下来
完成情况
已添加
完成时间
2025-07-17 22:20
备注信息
https://github.com/Just-Hack-For-Fun/Check_Path_Blank

40.  如何保护现场

反馈项
反馈信息
反馈编号
WYJXY-0040
反馈者
NOP Team
反馈时间
2024-07-11 17:41
反馈途径
作者自查
反馈内容
发生应急事件时如何保护现场
完成情况
已完成
完成时间
2025-07-16 18:05
备注信息

41.  rundll32 具体运行了哪些dll

反馈项
反馈信息
反馈编号
WYJXY-0041
反馈者
NOP Team
反馈时间
2024-07-11 17:48
反馈途径
作者自查
反馈内容
rundll32 到底运行了哪些dll
完成情况
暂时忽略
完成时间
2025-07-17 22:52
备注信息
作者也不记得当时这个反馈到底是为了什么了,这个标题内容完全可以通过看进程启动参数和线程信息来看。后续再遇到再添加吧。

42.  修改 pathext 是否可以将其他后缀当exe 执行

反馈项
反馈信息
反馈编号
WYJXY-0042
反馈者
NOP Team
反馈时间
2024-07-11 17:52
反馈途径
作者自查
反馈内容
修改 pathext 是否可以将其他后缀当exe 执行
完成情况
已添加
完成时间
2025-07-16 18:39
备注信息
修改 pathext 只会修改查找顺序,在 cmd 中可以执行任意后缀的二进制文件,例如 bin、txt

43.  完善挖矿病毒处置流程

反馈项
反馈信息
反馈编号
WYJXY-0043
反馈者
NOP Team
反馈时间
2024-07-17 11:00
反馈途径
作者自查
反馈内容
目前挖矿主流方式都是无文件的,一般会有一个木马下载器或者前置进程触发器,不断的把poweshell以system权限拉起来
完成情况
已完成
完成时间
2025-07-16 19:02
备注信息
目前仅作说明,后续可能会积攒案例后提取公共处理方法

44.  添加域控的应急排查

反馈项
反馈信息
反馈编号
WYJXY-0044
反馈者
PseuDo15
反馈时间
2024-08-02 14:53
反馈途径
微信公众号文章留言
反馈内容
添加域控的应急排查
完成情况
完成时间
备注信息
积攒资料过程中,可能在后续版本单独做章节说明

45.  安芯网盾的在线查杀网址失效

反馈项
反馈信息
反馈编号
WYJXY-0045
反馈者
FR33D0M
反馈时间
2024-08-06 16:45
反馈途径
微信
反馈内容
安芯网盾的在线查杀网址失效
完成情况
已删除
完成时间
2024-08-06 22:54
备注信息

46.  绿盟威胁分析中心网址失效

反馈项
反馈信息
反馈编号
WYJXY-0046
反馈者
FR33D0M
反馈时间
2024-08-06 16:59
反馈途径
微信
反馈内容
绿盟威胁分析中心网址失效
完成情况
已删除
完成时间
2024-08-06 23:01
备注信息

47. 勒索病毒章节-根据勒索病毒类型寻找解决方法中文字错误【文字错误】

反馈项
反馈信息
反馈编号
WYJXY-0047
反馈者
FR33D0M
反馈时间
2024-08-07 10:00
反馈途径
微信
反馈内容
瑞星放勒索病毒专题 -> 瑞星防勒索病毒专题
完成情况
已修复
完成时间
2024-08-07 21:52
备注信息

48. 勒索病毒章节-根据勒索病毒类型寻找解决方法中文字错误【文字错误】

反馈项
反馈信息
反馈编号
WYJXY-0048
反馈者
NOP Team
反馈时间
2024-12-24 18:40
反馈途径
作者自查
反馈内容
勒索病毒章节-根据勒索病毒类型寻找解决方法中文字错误
完成情况
已修正
完成时间
2025-07-16 19:17
备注信息

49. 善后阶段-添加RDP可以直接登录的服务器

反馈项
反馈信息
反馈编号
WYJXY-0049
反馈者
NOP Team
反馈时间
2024-12-25 15:02
反馈途径
作者自查
反馈内容
善后阶段-定损 部分只体现了ssh密钥直接登录的服务器,建议添加RDP直接连接的服务器
完成情况
已添加
完成时间
2025-07-16 19:18
备注信息

50. 常规安全排查-添加各安全软件的例外(排除)列表

反馈项
反馈信息
反馈编号
WYJXY-0050
反馈者
NOP Team
反馈时间
2024-12-26 13:30
反馈途径
作者自查
反馈内容
常规安全排查部分添加安全软件的白名单检查,也就是所谓的排除列表
完成情况
已添加
完成时间
2025-07-16 19:20
备注信息

51. 常规安全排查- NTFS备用数据流检查(ADS)

反馈项
反馈信息
反馈编号
WYJXY-0051
反馈者
NOP Team
反馈时间
2025-02-16 17:21
反馈途径
作者自查
反馈内容
常规安全排查部分添加关于 NTFS 备用数据流检查,经常被用来规避检查
完成情况
已完成
完成时间
2025-07-16 22:23
备注信息
在 常见问题的解决办法 -> 0x01 文件被隐藏 章节中添加

52. 手册搜索乱码+引用字符无法搜索到

反馈项
反馈信息
反馈编号
WYJXY-0052
反馈者
corezon、imemaker
反馈时间
2025-03-05 16:05
反馈途径
微信公众号私信
反馈内容
手册搜索乱码
完成情况
已修复
完成时间
2025-07-18 02:07
备注信息
markdown 的 > 语法中的内容都无法搜索到。但并非完美修复,本质原因还是某些字体缺少部分中文字符

53. 添加 Windows Sandbox 状态检查

反馈项
反馈信息
反馈编号
WYJXY-0053
反馈者
megaparsec
反馈时间
2025-04-14 15:18
反馈途径
微信
反馈内容
建议添加 Windows Sandbox 状态检查
完成情况
已添加
完成时间
2025-07-17 00:30
备注信息

54. 敏感文件夹检查-垃圾桶目录

反馈项
反馈信息
反馈编号
WYJXY-0054
反馈者
NOPTeam
反馈时间
2025-06-30 18:46
反馈途径
作者自查
反馈内容
敏感文件夹检查-垃圾桶目录多了一个 $
完成情况
已修复
完成时间
2025-07-17 00:39
备注信息

55. AppCertDlls 注册表路径缺少空格

反馈项
反馈信息
反馈编号
WYJXY-0055
反馈者
NOPTeam
反馈时间
2025-07-3 10:57
反馈途径
作者自查
反馈内容
SessionManager -> Session Manager
完成情况
已修复
完成时间
2025-07-17 00:42
备注信息

56. 近期活动-MUICache添加 Vista之前注册表路径

反馈项
反馈信息
反馈编号
WYJXY-0056
反馈者
NOPTeam
反馈时间
2025-06-29 23:45
反馈途径
作者自查
反馈内容
近期活动-MUICache添加 Vista之前注册表路径
完成情况
已添加
完成时间
2025-07-17 00:44
备注信息
HKEY_USERS<sid>SoftwareMicrosoftWindowsShellNoRoamMUICacheHKEY_USERS<sid>SoftwareMicrosoftWindowsCurrentVersionExplorerMUICacheHKEY_USERS<sid>SOFTWAREClassesLocal SettingsSoftwareMicrosoftWindowsShellMuiCache

57. 近期活动-Jump List添加应用自定义的跳转项

反馈项
反馈信息
反馈编号
WYJXY-0057
反馈者
NOPTeam
反馈时间
2025-06-30 01:00
反馈途径
作者自查
反馈内容
近期活动-Jump List添加应用自定义的跳转项
完成情况
已添加
完成时间
2025-07-17 00:45
备注信息
C:Users<用户名>AppDataRoamingMicrosoftWindowsRecentCustomDestinations

58. 189页文字错误

反馈项
反馈信息
反馈编号
WYJXY-0058
反馈者
NOPTeam
反馈时间
2025-07-14 04:18
反馈途径
xxxr_sec
反馈内容
189页 才用 -> 采用
完成情况
已修复
完成时间
2025-07-17 00:46
备注信息

59. 各个事件处置流程添加流程图

反馈项
反馈信息
反馈编号
WYJXY-0059
反馈者
NOPTeam
反馈时间
2025-07-17 23:00
反馈途径
作者自查
反馈内容
添加流程图
完成情况
已添加
完成时间
2025-07-18 00:06
备注信息

60. 添加目录

反馈项
反馈信息
反馈编号
WYJXY-0060
反馈者
NOPTeam
反馈时间
2025-07-17 23:02
反馈途径
作者自查
反馈内容
为手册添加目录
完成情况
已添加
完成时间
2025-07-18 02:07
备注信息

1. 寻找恶意样本部分 【文字错误】

反馈项
反馈信息
反馈编号
WYJXY-0001
反馈者
路人甲
反馈时间
2024-02-06 11:07
反馈途径
公众号留言
反馈内容
将一下内容改为将以下内容
完成情况
已修复
完成时间
2024-02-06 19:28
备注信息

2. 威胁分析部分 【平台名称错误】

反馈项
反馈信息
反馈编号
WYJXY-0002
反馈者
safefox
反馈时间
2024-02-06 17:38
反馈途径
微信
反馈内容
将 PCHunter 修改为安芯网盾未知威胁文件检测系统
完成情况
已修复
完成时间
2024-02-06 19:28
备注信息

3. 添加 OpenArk 工具

反馈项
反馈信息
反馈编号
WYJXY-0003
反馈者
safefox
反馈时间
2024-02-06 17:38
反馈途径
微信
反馈内容
考虑添加 OpenArk 工具
完成情况
已完成
完成时间
2024-03-06 17:43
备注信息

4. 添加 Defender 日志

反馈项
反馈信息
反馈编号
WYJXY-0004
反馈者
safefox
反馈时间
2024-02-06 17:38
反馈途径
微信
反馈内容
日志分析部分添加 defender 日志
完成情况
已添加
完成时间
2024-03-05 00:13
备注信息

5. 添加二进制文件执行日志

反馈项
反馈信息
反馈编号
WYJXY-0005
反馈者
safefox
反馈时间
2024-02-06 17:50
反馈途径
微信
反馈内容
添加 Windows 历史运行程序排查方法
完成情况
已添加
完成时间
2024-03-06 00:06
备注信息

6.  完善部分 Windows 事件及 ID

反馈项
反馈信息
反馈编号
WYJXY-0006
反馈者
safefox
反馈时间
2024-02-19 13:53
反馈途径
微信
反馈内容
补充部分协议及服务的 Windows 日志
完成情况
已完善
完成时间
2024-03-06 22:56
备注信息

7.  谁决定计划任务的执行结果部分【文字错误】

反馈项
反馈信息
反馈编号
WYJXY-0007
反馈者
safefox
反馈时间
2024-02-19 14:19
反馈途径
微信
反馈内容
小时
 -> 消失
完成情况
已修复
完成时间
2024-03-05 00:15
备注信息

8. 添加痕迹查看工具

反馈项
反馈信息
反馈编号
WYJXY-0008
反馈者
爱做梦的大米饭
反馈时间
2024-02-10 07:12
反馈途径
微信
反馈内容
添加YDArk、LastActivityView
完成情况
已添加 LastActivityView,YDArk 不开源,暂不添加
完成时间
2024-03-05 20:15
备注信息

9. 完善小技巧查找文件部分

反馈项
反馈信息
反馈编号
WYJXY-0009
反馈者
爱做梦的大米饭
反馈时间
2024-02-10 07:12
反馈途径
微信
反馈内容
添加命令行以及 everything 语法
完成情况
已完成
完成时间
2024-03-05 17:53
备注信息

10. 添加深信服僵尸网络查杀工具

反馈项
反馈信息
反馈编号
WYJXY-0010
反馈者
路人甲、爱做梦的大米饭
反馈时间
2024-02-4 09:01
反馈途径
微信
反馈内容
添加深信服僵尸网络查杀工具
完成情况
已添加
完成时间
2024-03-06 17:14
备注信息

11. 添加 SQL Server 应急分析

反馈项
反馈信息
反馈编号
WYJXY-0011
反馈者
爱做梦的大米饭
反馈时间
2024-02-10 07:12
反馈途径
微信
反馈内容
添加 SQL Server 应急分析
完成情况
已添加
完成时间
2024-07-10 00:43
备注信息

12. 完善二进制程序校验逻辑

反馈项
反馈信息
反馈编号
WYJXY-0012
反馈者
NOPTeam
反馈时间
2024-03-01 20:54
反馈途径
作者自查
反馈内容
验证签名通过后应该进一步验证签名发布者是否为微软
完成情况
已完成
完成时间
2024-03-06 23:59
备注信息

13. 修改 powershell 为 Powershell 【美化】

反馈项
反馈信息
反馈编号
WYJXY-0013
反馈者
NOPTeam
反馈时间
2024-03-04 16:20
反馈途径
作者自查
反馈内容
出于美观需求,将 powershell 写成 Powershell
完成情况
已完成
完成时间
2024-03-04 16:27
备注信息

14. 添加 beaconEye 工具

反馈项
反馈信息
反馈编号
WYJXY-0014
反馈者
爱做梦的大米饭
反馈时间
2024-03-05 11:09
反馈途径
微信
反馈内容
根据 Yara 检测恶意程序
完成情况
暂不添加
完成时间
2024-03-07 00:11
备注信息
工具已经3年未更新

15. 新建 Windows 近期活动检查项

反馈项
反馈信息
反馈编号
WYJXY-0015
反馈者
NOPTeam
反馈时间
2024-03-01 20:54
反馈途径
作者自查
反馈内容
增加近期Windows活动以及二进制执行记录
完成情况
已完成
完成时间
2024-03-06 00:08
备注信息

16. 添加 360系统急救箱

反馈项
反馈信息
反馈编号
WYJXY-0016
反馈者
megaparsec
反馈时间
2024-03-23 19:53
反馈途径
微信
反馈内容
杀毒软件推荐 360系统急救箱
完成情况
暂不添加
完成时间
2024-03-23 20:23
备注信息
不适用于服务器系统,且不比360杀毒强

17. 添加文件时占用强制删除

反馈项
反馈信息
反馈编号
WYJXY-0017
反馈者
megaparsec
反馈时间
2024-03-23 19:53
反馈途径
微信
反馈内容
存在文件占用时,无法强制删除,可以使用IObit Unlocker
完成情况
已添加
完成时间
2024-07-06 17:59
备注信息

18. 添加使用沙箱

反馈项
反馈信息
反馈编号
WYJXY-0018
反馈者
megaparsec
反馈时间
2024-03-23 19:53
反馈途径
微信
反馈内容
鉴定样本可以借助沙箱,如果允许样本上传的话
完成情况
已忽略
完成时间
2024-03-23 19:54
备注信息
手册中已包含沙箱相关内容

19. 添加 Rookit 的排查应急

反馈项
反馈信息
反馈编号
WYJXY-0019
反馈者
megaparsec
反馈时间
2024-03-23 19:53
反馈途径
微信
反馈内容
增加 Rookit 的排查应急
完成情况
暂未添加
完成时间
2024-03-23 20:23
备注信息
需要大家主动提供案例,使用网络上的案例可能会侵权

20. 建议给pdf增加目录

反馈项
反馈信息
反馈编号
WYJXY-0020
反馈者
zer07z
反馈时间
2024-03-18 11:10
反馈途径
Github Issues
反馈内容
pdf增加目录;增加应急响应check list
完成情况
已修复
完成时间
2024-07-10 12:30
备注信息
手册本身是有目录(标签)以及check list的,目录由PDF阅读软件自动生成,如果在页面中显式放入目录,单单目录就会占用前 30 多页内容,会给大家阅读带来障碍,之前版本由于 MacOS 预览程序添加封面后与火狐浏览器以及Adobe acrobat DC不兼容,导致不显示内容或目录常规安全检查部分就是所谓的 check list

21. 手册显示空白&不显示目录导航

反馈项
反馈信息
反馈编号
WYJXY-0021
反馈者
value-0
反馈时间
2024-03-19 17:28
反馈途径
Github Issues
反馈内容
火狐打开手册显示空白;Adobe acrobat DC打开手册不显示目录导航
完成情况
已修复
完成时间
2024-07-10 12:30
备注信息
由于 MacOS 预览程序添加封面后与火狐浏览器以及Adobe acrobat DC不兼容,导致不显示内容或目录

22. 完善二进制校验脚本

反馈项
反馈信息
反馈编号
WYJXY-0022
反馈者
NOP Team
反馈时间
2024-03-25 11:25
反馈途径
作者自查
反馈内容
0x16 服务程序 -> 11. 进阶性排查中二进制校验脚本提取路径存在问题,遇到空格会截断
完成情况
已完善
完成时间
2024-07-06 23:52
备注信息

23. 添加勒索病毒相关处理逻辑

反馈项
反馈信息
反馈编号
WYJXY-0023
反馈者
NOP Team
反馈时间
2024-03-26 15:09
反馈途径
作者自查
反馈内容
完善勒索病毒处理流程
完成情况
已完善
完成时间
2024-07-07 22:29
备注信息

24. 添加修改 hosts 文件的示例

反馈项
反馈信息
反馈编号
WYJXY-0024
反馈者
郑炼俊
反馈时间
2024-06-18 17:13
反馈途径
微信
反馈内容
远控后门->流量检测->地址诱骗章节完善修改 hosts 部分描述,添加图片示例
完成情况
已添加
完成时间
2024-07-06 16:30
备注信息

25. 手册无法搜索

反馈项
反馈信息
反馈编号
WYJXY-0025
反馈者
Heraxt
反馈时间
2024-07-04 10:19
反馈途径
微信
反馈内容
手册在Windows平台不能直接搜索
完成情况
已修复
完成时间
2024-07-10 12:30
备注信息
Typora Mint 主题导致,通过修改源代码已修复

26. 杀死进程树部分【文字错误】

反馈项
反馈信息
反馈编号
WYJXY-0026
反馈者
路人甲
反馈时间
2024-06-27 15:01
反馈途径
公众号留言
反馈内容
cmd.txt 改为 cmd.exe
完成情况
已完成
完成时间
2024-07-06 16:24
备注信息

27. 增加隧道处置流程

反馈项
反馈信息
反馈编号
WYJXY-0027
反馈者
NOP Team
反馈时间
2024-07-07 22:31
反馈途径
作者自查
反馈内容
增加隧道处置流程
完成情况
已完成
完成时间
2024-07-07 22:46
备注信息

28. 勒索病毒处置部分【文字错误】

反馈项
反馈信息
反馈编号
WYJXY-0028
反馈者
xxxr_sec
反馈时间
2024-05-16 12:25
反馈途径
微信
反馈内容
收到 -> 受到
完成情况
已修复
完成时间
2024-07-07 22:58
备注信息

29. 添加日志分析工具 —— FullEventLogView

反馈项
反馈信息
反馈编号
WYJXY-0029
反馈者
xxxr_sec、NOP Team
反馈时间
2024-05-16 13:53
反馈途径
微信
反馈内容
添加日志分析工具 FullEventLogView
完成情况
已添加
完成时间
2024-07-07 23:46
备注信息

30. 添加文本对比工具

反馈项
反馈信息
反馈编号
WYJXY-0030
反馈者
xxxr_sec
反馈时间
2024-05-16 13:53
反馈途径
微信
反馈内容
添加文本对比工具
完成情况
已添加
完成时间
2024-07-07 23:45
备注信息
添加了 He3 ,除了文本对比功能外,支持大量的编解码等功能

31. 添加应用系统和中间件的暴力破解

反馈项
反馈信息
反馈编号
WYJXY-0031
反馈者
xxxr_sec
反馈时间
2024-05-16 13:53
反馈途径
微信
反馈内容
暴力破解模块中是否考虑添加针对应用系统或中间件暴力破解的内容
完成情况
已忽略
完成时间
2024-05-06 13:53
备注信息
特定的应用程序已经有了,中间件属于Web范畴,在将来的 Web 应急响应手册中会涉及

32. 添加流量监控工具

反馈项
反馈信息
反馈编号
WYJXY-0032
反馈者
xxxr_sec
反馈时间
2024-05-16 13:53
反馈途径
微信
反馈内容
是否会添加流量监控工具
完成情况
已完成
完成时间
2024-07-07  23:09
备注信息
添加了 Netsh 和 Wireshark,由于 MMA 已经停止开发,暂时不加进去

33. 添加内网文件传输工具

反馈项
反馈信息
反馈编号
WYJXY-0033
反馈者
NOP Team
反馈时间
2024-04-29 20:44
反馈途径
作者自查
反馈内容
考虑无法使用U盘传输文件的情况,添加内网文件传输工具
完成情况
已添加
完成时间
2024-07-08  13:36
备注信息

34. 添加证书排查

反馈项
反馈信息
反馈编号
WYJXY-0034
反馈者
NOP Team
反馈时间
2024-03-14 15:00
反馈途径
作者自查
反馈内容
添加对证书的排查,如果存在恶意证书可能导致其他排查失效
完成情况
已添加
完成时间
2024-07-08  17:06
备注信息

35. 添加钓鱼排查流程

反馈项
反馈信息
反馈编号
WYJXY-0035
反馈者
NOP Team
反馈时间
2024-05-02 19:25
反馈途径
作者自查
反馈内容
增加钓鱼排查流程
完成情况
已添加
完成时间
2024-07-09 00:00
备注信息

36. 添加 badusb 类事件排查流程

反馈项
反馈信息
反馈编号
WYJXY-0036
反馈者
NOP Team
反馈时间
2024-03-06 21:46
反馈途径
作者自查
反馈内容
添加 badusb 类事件排查流程
完成情况
已添加
完成时间
2024-07-09 02:31
备注信息
手册中案例是使用鼠标模拟 badusb ,如果有 badusb ,日志分析可能更准确

下载地址

Hashmd5:f034e553c65c6edd8fdaa1b38d89cda3sha-256:8fd9426884aab1e903edf3e051f5ad1f8af95a4a9a8ce130122cdf64b41a2a1f

往期文章


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com