Windows应急响应手册-1

事前准备

0x01 操作系统基本配置 ¶

1. 开启显示隐藏文件和文件后缀 ¶

  • Windows Server 2016

文件资源管理器 => 查看 => 勾选文件扩展名,隐藏的项目

image-20230713095545207

  • Windows 10

文件夹(文件资源管理器)=>查看=>勾选文件扩展名,隐藏的项目

image-20220301111720259

  • Windows 7

文件夹=>工具=>文件夹选项=>查看=>勾选显示隐藏的文件=>取消勾选隐藏已知文件类型的扩展名

image-20220301112804075

0x02 工具准备 ¶

  • 写保护 U 盘
  • 数据盘
  • 启动 U 盘
  • Windows Server 系列虚拟机或镜像
  • 建议同时准备 32 位工具,以应对 32 位操作系统
  • 本手册,顺便也可以带上 《Linux 应急响应手册》

1. 排查工具 ¶

  • System Informer
  • OpenArk
  • 火绒剑
  • D盾
  • Sysinternals Suite
  • Windows 调试工具集

https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/debugger-download-tools

  • 编程语言解析环境, 如果你的检查工具依赖于解释器,自行准备好,尽量避免使用受害主机上的环境
  • 一套基本功能的小工具,类似于 busybox
  • 日志分析工具 (例如 FullEventLogView)
  • LastActivityView 最近活动记录查看器
  • Netsh (系统自带) 流量监控工具
  • Wireshark 流量分析工具

2. 杀毒工具 ¶

  • 360
  • 火绒
  • 腾讯安全管家
  • webshell 查杀工具
  • D盾
  • 安全狗
  • 深信服-僵尸网络查杀工具

3. 漏洞验证工具 ¶

  • Fscan
  • Goby
  • Nuclei

4. 编解码与文本对比工具 ¶

编解码&文本对比

  • He3

5. 内网文件传输工具 ¶

  • Localsend

6. 日常使用小工具 ¶

  • Everything
  • bandzip 或 360 压缩
  • Edge 或 Chrome 浏览器
  • 代码编辑器, VSCode Sublime Editplus

7. 取证工具 ¶

  • NOPTrace-Collector
  • DumpIt