渗透应急响应之溯源文件创建时间

         那么攻击者想要对他去发起相关的攻击指令,就必须干?注意看,就必须首先控制它,然后再把攻击工具就是控制能够控制它的工具再上传给他,上传给他之后,然后再让他干什么?再让他主动走出来,走出来联系我们的攻击者,或者是我们的攻击者,直接把工具先给它,然后再通过他再给到第二个受害者,然后直接进行控制。

既然是程序就需要被执行,既然执行的话,那么就会留下痕迹,那么所以接下来我们就去检查了进程。通过对域控主机的进程检查,发现存在恶意进程并得点ese这个如果说大家玩过CS的话就非常了解了,这是一个正向连接,同时也变相的说明了什么?从攻击者角度的话就不说太多了。那么发现了这一个正向的这一个,木马以后,还有一个什么?还有一个远程远程登陆的一个进程。好,我们通过接下来,既然是有进程了,对不对?有进程我们就要去定位进程,这个工具有很多可以去查看,比如说像火绒,或者说是像谁来拆分服务去进行查看。

既然有进程,我们就可以去要接下来就要去定位进程,我们要想去得到哪些信息,我们就要去想去得到他的一个创建时间,,那么我们这里用的是Everything,当然除了everything以外,还有什么?还有像我刚才说的这两款工具,一个是火绒,一个是奥特罗斯,当然还有其他的很多的工具,我们后续会介绍到,我们可以通过右键然后去直接定位到它当前是在哪一个路径去产生的,这个都是ok的,这个都是可以的。

那在这里给大家展示的这个工具是什么? Everything,语法就是这个 Dm。比如说是1998年11月05号,那么我们这里是几点钟?5月19号对不对?5月19号的话,那么我们就可以写某年,然后某月,然后19号,然后后面再跟上什么,再跟上它的数据类型,我把这个图给大家放大。通过这个语法我们就可以定位到在特定的时间以内,所有创建的文件都会被展示出来,都会被展示出来。

分享: