好的，接下来，我们就来到了域控2上面进行一个分析和排查。根据就近原则和重要性，我们直接从域控一来到了域控二，虽然在安全设备的告警上面，并没有直接的去告诉我们域控有问题，但是根据我们的直觉和它域控的一个重要性，我们还是对域控二进行了一个例行检查.

再根据我们之前站在攻击者的角度上面，我们去进行了一个总结和分析。那么我们得到两项结论，就是说，如果攻击者对受害者进行控制以后，那么他是想要进行持久化控制的，那么在这样的情况下，他就会做一些权限维持的操作，比如说创建账号，执行一些恶意样本，包括什么？包括它将来还有可能会利用这一台受害者去对这台受害者所能够辐射到的一个范围的一个主机去进行一个横向攻击，那这样子也会留下一些程序的执行痕迹，命令痕迹，包括服务的一些启动痕迹等等。

那么根据这种原理，那么我们在对这一台域控2进行排查的时候，我们就定位到了一个恶意样本，那么这个恶意样本是在5月19号3:24:34的时候创建的，那么这个恶意样本，我们是怎么定位到的？我们是通过otoruns去查看开机启动项的时候，定位到ae样本的，那么在这里的时候，我要给大家拓展的一个东西是什么？我们为什么可以通过开机启动项和进程列表，去可以快速定位到ae样本，我们的服务器是相对比较干净的，他和个人的PC机不太一样。

它的服务器上面通常运行的服务和进程是固定的，不会特别的多，不会特别的杂。包括他们网络之间的通信都是在内网，几乎甚至可以这么说。没有内网的主机会主动的去向外去进行一个发起链接的是不存在的。那么所以在我们通过attract去查看域控2的一个开机启动项的时候，我们就快速的去定位到了 ltwcotx这一个应用程序.

好，那么我们为什么会定位到这一个应用程序？这个要收回来了，攻击者，他是想持久化的去控制，那么在他执行一些恶意样本和他所谓的后门木马的时候，往往它会在开机启动项里面或者是自启动里面会留下自己的种子。那么如果说，我们的排查人员在检查的不仔细，或者说是客户这一边没有相关知识储备的时候，即使是重启了当前的这一个服务器或者说是给这个服务器换了个IP以后，那么他依然没有办法去摆脱攻击者的一个控制的，那么换句话来说，只要攻击者想去做持续化控制，那么这些地方都是排查的地方，所以我们在开机启动项里面，我们就定位到了它这个恶意样本。

好，3月5月19日3:24分的时候进行创建的。好的，那么再往后我们还通过排查，还分析到了哪些相关的信息？我们还分析到了样本的启动时间是5月19号3:24:35的时候，以服务的模式自启动的。那么这个这一个结论这个结果是怎么得到？是我们再去查看当前服务器的一个事件查看器的时候，去查看它的系统日志，这一个事件ID的时候去定位到了，我们来看一下这个事件ID会给我们展示一些什么样的信息。