–杰思獵鷹平臺(tái)提示異常訪問(wèn)告警���;
–回溯微隔離訪問(wèn)日志,迅速定位可疑主機(jī)�����;
–鎖定與之相關(guān)的進(jìn)程PID�����;(根據(jù)進(jìn)程PID查找相關(guān)進(jìn)程關(guān)鍵指標(biāo)��,發(fā)現(xiàn)該進(jìn)程為rundll32����,父進(jìn)程為未簽名的shellcode���,子進(jìn)程為cmd并調(diào)用了其他程序)
–通過(guò)綜合分析����,判斷該進(jìn)程被植入了后門(mén)�����,存在與遠(yuǎn)程C&C服務(wù)器通信的風(fēng)險(xiǎn);
–隨即通過(guò)杰思獵鷹遠(yuǎn)程阻止該進(jìn)程����。
來(lái)源:中國(guó)評(píng)論網(wǎng)
