由于10.10.1.50存在多个成功的攻击告警，所以我们就进行了升级排查，那么在什么？在c盘user、public公共目录下排查？这是下载，那么在这一个公共的目录下面，是不需要很高的权限，也可以放工具在里面，那么我们在这个路径下面就发现了什么？就发现了多个攻击者工具，比如说xps，psesec Wmi这个超级弱口令探测工具看见没有？

超级弱口令探测工具，我们就说什么？他肯定是有探测行为的，然后肯定是有上传行为的，对不对？要不然他不可能做这些事情。那么我们也确确实实的是定位到了这些这些工具，黑客工具。都是属于什么？都是属于上传木马的一个行为。那么扫描探测的行为，它也是需要借助脚本工具来执行的。那么就是超级弱口令探测工具。好，接下来既然有样本了，那么我们就要去看样本的一个落地时间，因为只有样本落地以后，他才会去执行这些工具，然后再去利用这些工具再去做一些其他的攻击行为。

那么我们是要把这一个攻击行为去进行一个还原的，甚至要根据它落地的一个时间，往后推，往前推，去得到更多我们在设备上面，就是在这个监测设备上面，我们没有办法去直接得到的一些信息，直接得到的信息，只有这样子，我们才可以知道攻击者更多的一些攻击行为，我们才可以知道他除了我们已知的以外，还有哪些未知的行为，是我们不知道的。那么样本落地的时间就是4:53:50，看得到 pseapsec，5月19号4:53:47。好，我们再看这个这个是什么，这个是那个超级弱口令探测的一个结果，全部都是攻击成功了，这个是它探测出来的密码。然后 s s award，这是我们通常说的什么？弱口令，上百台机子都存在这个弱口令，他既然要执行这个程序，这些我们肯定知道他执行的。

那么有没有可能他又执行了一些别的东西？有可能对吧？那么所以我们就去排查，排查历史执行程序记录。

我们这个其实你在这个路径下面就可以去查看了就可以去查看了，在这里你也可以什么？通过win加r的方式，把这个路径你复制到不知道这一个窗口里面，也可以去打开，打开之后我们会给我们会看到很多的pf文件，看见没有？

Esecesec SEC看到没有？然后它的落地时间是什么时候？4:52:50，那么我们就直接去查看5月19号的一些相关信息，那么下面是5月18号，17号的我们就不看了。