你们通过win加r然后在cmd的那个窗口里面你们去输出，也可以去查看到自己之前使用过的一些程序和软件的一些相关信息。好，ok。既然攻击者干什么？我们推测他使用了攻击工具去操作的话，那么是不是就有可能留下样本，对吧？那么我们就去查看这一个相应的样本，但是什么？但是被攻击者删除了，我们又通过数据还原的方式，就又得到了一些相关的信息。

在进行查看以后，进一步的去确认了攻击者，它确实是在某一个时间段以内，对我们客户的内网的这一些相关资产进行了探测的扫描。好，那么有很多小白就会问了，那攻击者为什么去执行这些东西，不是敏感的吗？同样的你家里面有几口人，有哪些人住在哪个房间，你让一个外人来，他也不知道对不对，那怎么办？他就只有通过探测的方式，你懂了没有？他就只有通过探测的方式，他不断的去猜到底 a这个房间是你的，b这个房间是你的，c这个房间是你的，d这个房间，是他不断的去猜，那么这个就是一个探测和爆破的行为。

那么一旦他猜对了以后，他就可以进去查看，明白没有？他就进去查看，甚至继续通信。所以说攻击者它即使需要在目前控制受害者的这个基础上去发起攻击，它也是需要去做信息收集的，明白没有？他也是需要去做信息收集的，要不然他也不知道，不知道该去打谁。好，那这个我们通过查看link文件的时候，去检索这个Iink文件的时候，就去判断攻击者是有一个资产探测的一个行为。

再之后我们再去通过对事件日志的一个分析的查看，我们就定位到了有一个内对内的攻击，时间是在5月19号2点11分08秒的时候，我们发现域控1对域控2进行了登录。安全日志怎么去打开一样的是通过win加r的方式，然后你在这个里面去输入这个命令，就可以跳出来事件查看器。

好，我们也要去猜测这个攻击者到底他有没有进一步的这种攻击行为，它的权限维持，有没有可能他要做一些其他的操作，他有没有可能会上来查看这些信息收集？

因为像我们往往有很多就是客户这边的人，就是包括像我们自己很多时候管很多的电脑，很多的网络，很多账号密码的话，你其实很多时候都会自己创建一张表放到这个电脑桌面上面，或者是电脑的某一个目录下面去保存起来，对不对。