那么简单的来说，换句话来说吧，我们为什么要去做这个事情。首先第一点，我们可以去定位到我们的恶意进程，它是在哪个路径下，同时我们还可以定位到什么？由于攻击者他要去控制我们的这个什么呀，控制我们的服务器，那么在他上传这个恶意文件并且被执行的时候，他一定要执行以后，执行以后才可以去做一些相应的操作。

那么他要去做一些相应的操作的话，他必须要去依赖一些可执行程序脚本，对不对？那么也就是说我们会在在哪个时间点？他这里是时间点还没出来，时间点暂时没出来，也就是在它他执行以后，我们会去检查在5月19号这一个期间，包括5月19号往后的一个时间进行正向推演，我们就可以得到,他在我们这这台电脑上面到底放了多少个可疑的程序，多少个可疑的程序，以及通过这些程序做了什么事情，因为我们可以去拿到他的程序，比如说他拿到一个这个叫什么？

这个是一个正向的连接对不对？那么说明他控制我们的电脑，如果是他拿到一个x干，说明他对我们的电脑进行了扫描，是不是扫描就有日志，我们就可以进一步的去进行分析和查看，是这样子的是这样子的。那这里我给大家演示的是一个everything的一个查看方式，好，那么通过定位我们就发现了什么？我们在这个地方我们只是发现了有个远程登录的一个对不对？那么我们通过对这一个时间内的进行一个搜索和查看，我们就定位到了两个程序，一个是f.exe，一个是病毒，那么具体的时间，我们可以进行把这个图片放大之后再给大家看一下。

好，时间是某年的，这是20号了，20号凌晨45分的时候放上去的了。然后这个病毒是什么？是19号5:26的时候放上去了。那么也就是说接下来我们通过everything这个排查方式，我们要去查看的什么呀，查看的就是在5:26，往后所有新创立的文件，那么它都有可疑，都存在可疑，知不知道？

都存在可疑，那么像这些工具都是比较明显的，而且它是放在这一个公用目录下面的话，它是可以存放一些临时文件的，是具备这样的这些权限的，而且我们可以看到它的位置是public，public就公用的话，就是你没有权限也可以放，这个也是攻击者非常喜欢放黑客工具的一个路径，我们也可以去进行排查，这个也是一个排查思路。

好，那么排查完之后，我们还要再去定位，它不是有在这个上面，我们不是去看到它不是有个远程登录的一个可执行程序吗？那么我们就去定位一下它的登录的时间是，什么样子的。既然他创建了账号，他为了更方便的操作，听见没有？为了更方便的操作，一定会登录我们的这个服务器，登录服务器这个行为的话是比较敏感的，但是为了可以更快速的去做到伤害更大的一个攻击，去制造更大的给我们蓝队制造更大的一个麻烦的话，通常来说是会去选择登录的。