MgnCoding2020/windows-triage-playbooks

# Windows 系统分诊操作手册 一份以安全为首要考虑的现场指南，用于对可能已遭入侵、表现出可疑行为或需要进行防御性健康检查的 Windows 系统进行分诊。 **版本：** v4.1 **适用范围：** Windows 10/11 家庭版/专业版，包含工作组、小型企业及域环境部署说明。 **受众：** 从事现场分诊工作的 IT 通才 **以及** 试图理解自身系统发生了什么的小型企业主。 ## 这是什么 - 一份用于对可能已遭入侵或表现出可疑行为的 Windows 系统进行分诊的现场指南。 - 一份为该分诊工作提供依据的 Windows 事件日志证据、Sysmon 遥测数据和持久化模式的参考。 - 一个以安全为首要的工作流程：**清理前先收集证据，上传前先计算哈希值，切勿将运行清理工具作为第一步行动。** ## 这不是什么 - 保证遵循它就能检测或移除所有威胁的承诺。 - 当情况需要时，能替代企业事件响应团队的方案。 - 奇迹般的勒索软件解密工具。活跃的勒索软件需要立即隔离并寻求专业帮助。 ## 从这里开始 | 如果您是... | 打开 | |---|---| | 看到可疑情况的非技术用户 | [`02_Windows-Incident-Triage-Workflow.md`](./02_Windows-Incident-Triage-Workflow.md) — 从阶段 0 开始 | | 从事现场分诊工作的 IT 通才 | [`00_README_Playbook_Index.md`](./00_README_Playbook_Index.md) — 完整索引 | | 查询特定的 Windows 事件 ID | [`03_Suspicious-Windows-Event-ID-Reference.md`](./03_Suspicious-Windows-Event-ID-Reference.md) | | 查询特定的 Sysmon 事件 ID | [`04_Sysmon-Event-Correlation-Guide.md`](./04_Sysmon-Event-Correlation-Guide.md) | | 试图理解自动化报告中的某个发现 | [`11_Report-Interpretation-Guide.md`](./11_Report-Interpretation-Guide.md) | | 事件进行中，需要做出遏制决策 | [`10_Containment-Eradication-Recovery.md`](./10_Containment-Eradication-Recovery.md) | ## 操作手册集 1. [`01_Color-Severity-Legend.md`](./01_Color-Severity-Legend.md) — 整个手册集通用的严重性/颜色语言 2. [`02_Windows-Incident-Triage-Workflow.md`](./02_Windows-Incident-Triage-Workflow.md) — 主工作流程（阶段 0 → 恢复） 3. [`03_Suspicious-Windows-Event-ID-Reference.md`](./03_Suspicious-Windows-Event-ID-Reference.md) — Windows 安全/系统/PowerShell 事件 ID 4. [`04_Sysmon-Event-Correlation-Guide.md`](./04_Sysmon-Event-Correlation-Guide.md) — Sysmon 事件 ID 及关联模式 5. [`05_Malware-Behavior-Field-Guide.md`](./05_Malware-Behavior-Field-Guide.md) — 常见的 Windows 恶意软件行为模式 6. [`06_IOC-and-VirusTotal-Handling-Guide.md`](./06_IOC-and-VirusTotal-Handling-Guide.md) — IOC 处理、VirusTotal 哈希优先工作流 7. [`07_CISA-KEV-Patching-Prioritization.md`](./07_CISA-KEV-Patching-Prioritization.md) — 基于 CISA KEV 的补丁优先级排序 8. [`08_Windows-Persistence-and-LOLBins.md`](./08_Windows-Persistence-and-LOLBins.md) — 持久化位置及 LOLBin 滥用 9. [`09_Collection-Checklist.md`](./09_Collection-Checklist.md) — 清理前需要收集的内容清单 10. [`10_Containment-Eradication-Recovery.md`](./10_Containment-Eradication-Recovery.md) — 收集后的行动操作手册 11. [`11_Report-Interpretation-Guide.md`](./11_Report-Interpretation-Guide.md) — 如何解读自动化扫描输出 12. [`99_Source-References.md`](./99_Source-References.md) — 来源、参考及延伸阅读 ## 操作原则 本手册集围绕四条核心准则构建： **当不确定时，在更改系统前先收集更多信息。** ### 不可妥协的准则 1. **首先只读。** 在进行任何更改前，先运行收集、审计、清点和审查工具。 2. **清理前先收集。** 如果可能存在恶意软件、入侵或篡改，先收集证据。 3. **不要对可疑机器进行基线评估。** 基线是对已知良好状态的声明；不要在你尚未审查的系统上做出这种声明。 4. **切勿随意清除日志。** 安全日志、Defender 日志、PowerShell 日志和 Sysmon 日志可能是关键证据。 5. **VirusTotal 应坚持哈希优先。** 绝不要将私有文件、客户数据、配置、浏览器配置文件或包含秘密的日志上传到公开扫描服务。 6. **假设未知主机可能很脆弱。** 在进行更改前，检查是否有驱动器故障、加密情况、备份状态以及业务/监管背景。 完整的操作模型和规则详情请见 [`00_README_Playbook_Index.md`](./00_README_Playbook_Index.md)。 ## 授权与范围 本操作手册集旨在用于**您拥有或已获得书面授权操作的系统**。它不是黑客指南，不是侦察参考，也不是窥探他人机器的理由。 如果您代表小型企业或家庭成员使用它，请在开始收集前获得书面许可。 ## 许可 MIT 许可 — 参见 [`LICENSE`](./LICENSE)。使用它、复刻它、改编它。如果它能帮助你在真实系统上进行更安全的分诊，那就是全部意义所在。 ## 相关工作 指导这些操作手册编写的 PowerShell 脚本和真实运行证据已发布在 [**HomeEDR 和 Governance Security**](https://github.com/MgnCoding2020/HomeEDR-and-Governance-Security) 项目中，该项目从 2025 年 10 月至 2026 年 2 月运行在我自己的工作站上，并有存档的报告输出。这些脚本的修订版、可移植的 ToolBox 版本目前正在重新验证，一旦经过冒烟测试，将在一个单独的代码库中发布。 这种分离是有意为之的：文档应独立于其依据的证据存在，脚本则不应在真实机器上被证明之前发布。 ## 关于作者 作者：**Michael Nault** ([MgnCoding2020](https://github.com/MgnCoding2020)) — 一名入门级 GRC 候选人，正在 WGU 攻读网络安全与信息保障学士学位的同时，自主进行蓝队和合规性学习。 AI 辅助了初稿和结构；操作规则、受众模型、安全立场和判断决定由我做出。经过底层脚本的实际操作使用进行审查、编辑和经验指导。 - GitHub: [@MgnCoding2020](https://github.com/MgnCoding2020) - LinkedIn: [michael-nault-mgncoding2020](https://www.linkedin.com/in/michael-nault-mgncoding2020)

标签：AI合规, AMSI绕过, ESC漏洞, IOC处理, IT管理, Sysmon, Sysmon关联, Windows系统, 事件ID, 事件关联, 事件日志, 事件日志解释, 分诊, 分诊工作流, 参考指南, 只读优先, 威胁检测, 子域名枚举, 安全工作流, 安全第一, 小企业安全, 恢复, 操作手册, 系统安全, 网络安全, 证据保留, 证据收集, 防御加固, 防御性健康检查, 隐私保护