Windows应急响应手册v1.1震撼发布

Windows 应急响应手册v1.1已发布，本次更新主要完善了常规安全检查中的二进制程序签名校验逻辑，添加了二进制程序执行记录，并增加了常用工具。手册还优化了应急响应事件流程，增加了OpenArk工具使用说明和内存搜索字符串步骤。用户反馈对改进手册至关重要，欢迎大家下载使用并提供宝贵意见。

简介 大家好，Windows 应急响应手册v1.1 已经发布，本次更新主要完善了常规安全检查中的二进制程序签名校验逻辑，并添加了二进制程序执行记录，同时也增加了一些大家常用的工具，欢迎大家下载、使用并提供反馈～

您的反馈对这本手册的改进至关重要，我们将反馈信息整理在下方的用户反馈列表中，展示了提供反馈的用户及其具体内容，并对反馈者进行公开回复，感谢您的参与～

更新日记 常规安全检查 -> 进程部分添加了 OpenArk 常见问题的解决方法，并新增了恶意文件删除的章节20240306

应急响应事件流程中，针对挖矿病毒和远程控制后门的部分增加了 OpenArk 工具的使用说明；对于挖矿病毒、远程控制后门和非持续性事件等部分，添加了内存搜索字符串的步骤；常规安全检查阶段新增了近期活动检查；系统日志分析部分增加了额外的 RDP 相关日志；小技巧章节新增了 0x03 内存中搜索字符串的部分；常规安全检查 -> 服务程序 -> 注册表部分完善了用于二进制签名验证的 Powershell 脚本的实现逻辑；常规安全检查 -> 服务程序 -> 进阶性排查部分完善了用于二进制签名验证的 Powershell 脚本的实现逻辑；常规安全检查 -> COM 劫持部分完善了用于二进制签名验证的 Powershell 脚本的实现逻辑；常规安全检查 -> Winsock NSP 部分完善了用于二进制签名验证的 Powershell 脚本的实现逻辑20240305

常规安全检查阶段增加了 Windows Defender 日志检查；修复了知识点附录 -> 0x10 谁决定计划任务的执行结果章节中的文字错误；小技巧 -> 0x01 查找文件章节增加了 dir、forfiles、Powershell 查找文件以及 Everything 的语法；知识点附录增加了 0x15 Everything 语法；事前准备 -> 0x02 工具准备章节增加了 OpenArk、LastActivityView20240304

对部分文字进行了美化，例如将 powershell 改为 Powershell20240206

修复了挖矿病毒和远程控制后门章节中寻找恶意样本过程中的文字错误；威胁分析部分将 PCHunter 改为安芯网盾未知威胁文件检测系统v1.020240203

Hello World用户反馈列表 1. 寻找恶意样本部分 【文字错误】反馈项反馈信息 反馈编号

WYJXY-0001

反馈者

路人甲

反馈时间

2024-02-06 11:07

反馈途径

公众号留言

反馈内容

将一下内容改为将以下内容

完成情况

已修复

完成时间

2024-02-06 19:28

2. 威胁分析部分 【平台名称错误】反馈项反馈信息 反馈编号

   WYJXY-0002

   反馈者

   safefox

   反馈时间

   2024-02-06 17:38

   反馈途径

   微信

   反馈内容

   将 PCHunter 修改为安芯网盾未知威胁文件检测系统

   完成情况

   已修复

   完成时间

   2024-02-06 19:28

   3. 添加 OpenArk 工具反馈项反馈信息 反馈编号

      WYJXY-0003

      反馈者

      safefox

      反馈时间

      2024-02-06 17:38

      反馈途径

      微信

      反馈内容

      考虑添加 OpenArk 工具

      完成情况

      已完成

      完成时间

      2024-03-06 17:43

      4. 添加 Defender 日志反馈项反馈信息 反馈编号

         WYJXY-0004

         反馈者

         safefox

         反馈时间

         2024-02-06 17:38

         反馈途径

         微信

         反馈内容

         日志分析部分添加 defender 日志

         完成情况

         已添加

         完成时间

         2024-03-05 00:13

         5. 添加二进制文件执行日志反馈项反馈信息 反馈编号

            WYJXY-0005

            反馈者

            safefox

            反馈时间

            2024-02-06 17:50

            反馈途径

            微信

            反馈内容

            添加 Windows 历史运行程序排查方法

            完成情况

            已添加

            完成时间

            2024-03-06 00:06

            6. 完善部分 Windows 事件及 ID反馈项反馈信息 反馈编号

               WYJXY-0006

               反馈者

               safefox

               反馈时间

               2024-02-19 13:53

               反馈途径

               微信

               反馈内容

               补充部分协议及服务的 Windows 日志

               完成情况

               已完善

               完成时间

               2024-03-06 22:56

               7. 谁决定计划任务的执行结果部分【文字错误】代码语言：javascript代码运行次数：0运行复制```javascript WYJXY-0007

               8. 添加痕迹查看工具反馈项反馈信息 反馈编号

                  WYJXY-0008

                  反馈者

                  爱做梦的大米饭

                  反馈时间

                  2024-02-10 07:12

                  反馈途径

                  微信

                  反馈内容

                  添加YDArk、LastActivityView

                  完成情况

                  已添加 LastActivityView，YDArk 不开源，暂不添加

                  完成时间

                  2024-03-05 20:15

                  9. 完善小技巧查找文件部分反馈项反馈信息 反馈编号

                     WYJXY-0009

                     反馈者

                     爱做梦的大米饭

                     反馈时间

                     2024-02-10 07:12

                     反馈途径

                     微信

                     反馈内容

                     添加命令行以及 everything 语法

                     完成情况

                     已完成

                     完成时间

                     2024-03-05 17:53

                     10. 添加深信服僵尸网络查杀工具反馈项反馈信息 反馈编号

                         WYJXY-0010

                         反馈者

                         路人甲、爱做梦的大米饭

                         反馈时间

                         2024-02-4 09:01

                         反馈途径

                         微信

                         反馈内容

                         添加深信服僵尸网络查杀工具

                         完成情况

                         已添加

                         完成时间

                         2024-03-06 17:14

                         11. 添加 SQL Server 应急分析反馈项反馈信息 反馈编号

                             WYJXY-0011

                             反馈者

                             爱做梦的大米饭

                             反馈时间

                             2024-02-10 07:12

                             反馈途径

                             微信

                             反馈内容

                             添加 SQL Server 应急分析

                             完成情况

                             暂未添加，打算后续做专题

                             完成时间

                             2024-03-07 15:06

                             12. 完善二进制程序校验逻辑反馈项反馈信息 反馈编号

                                 WYJXY-0012

                                 反馈者

                                 NOPTeam

                                 反馈时间

                                 2024-03-01 20:54

                                 反馈途径

                                 作者自查

                                 反馈内容

                                 验证签名通过后应该进一步验证签名发布者是否为微软

                                 完成情况

                                 已完成

                                 完成时间

                                 2024-03-06 23:59

                                 13. 修改 powershell 为 Powershell 【美化】代码语言：javascript代码运行次数：0运行复制```javascript WYJXY-0013

                                 14. 添加 beaconEye 工具反馈项反馈信息 反馈编号

                                     WYJXY-0014

                                     反馈者

                                     爱做梦的大米饭

                                     反馈时间

                                     2024-03-05 11:09

                                     反馈途径

                                     微信

                                     反馈内容

                                     根据 Yara 检测恶意程序

                                     完成情况

                                     暂不添加（工具已经3年未更新）

                                     完成时间

                                     2024-03-07 00:11

                                     15. 新建 Windows 近期活动检查项反馈项反馈信息 反馈编号

                                         WYJXY-0015

                                         反馈者

                                         NOPTeam

                                         反馈时间

                                         2024-03-01 20:54

                                         反馈途径

                                         作者自查

                                         反馈内容

                                         增加近期Windows活动以及二进制执行记录

                                         完成情况

                                         已完成

                                         完成时间

                                         2024-03-06 00:08

                                         今天关于《Windows应急响应手册v1.1震撼发布》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于应急响应,用户反馈,安全检查,二进制程序,OpenArk的内容请关注golang学习网公众号！