同时他还要去查看这一台主机是什么时候启动的，然后这台机子，有没有被重启过等等，如果没有被重启过，我们在这里看安装时间，这个启动时间是这一个，安装曾经是这个启动时间，这个那么如果说当前的这一个受害者。他不是频繁的去启动，或者说不是最近才启动的话，那么就可以从侧面的去证明，我们的客户对这一台服务器并不是特别的重视，那么我们的攻击者就可以去登录到这一台 OA，可以再去执行更多的操作。

好，再往下，我们就定位到了一个内对内的攻击，在5月20号，5月20号的时候凌晨1:32:44的时候，攻击者对该主机进行了暴力破解，在2:06的时候登录了该主机，攻击者是谁？攻击者是188，是不是？他之前是不是攻击过？攻击过，原来就是它爆破了，说白了什么？我们在0.188这一台主机上面查到的那些恶意文件当中，有一个就是专门爆破的，对不对？

来，我们再回去看一眼。是不是有可能就是这一个，那么4625这个事件ID是代表登录失败，登录失败，什么时候会登陆失败，只有开始登录的时候，才会存在登录失败，对不对？那么假设如果我们是用自己的这个账号密码，但是我们用了个错误的账号，错误的密码去登录的时候，他会干什么？他就会登陆失败。

那么登录失败的最早的那个时间，就是攻击者开始暴力破解的时间。而4624是登陆成功。那么时间就是攻击者成功登录的时间，成功暴力破解的时间。所以我们在这个事件日志里面，我们是看到攻击者0.18，在最早的时间是谁？1:32秒的时候，一直是包括了4254，这个时候都是审核失败，都是审核失败，说明在干什么？说明它爆破。

好，既然有可疑程序，有可疑程序就需要去执行，去执行我们就去排查。5月20日，对不对？5月20日因为它有个落地时间，它是有个落地时间的对不对？我们就去排查5月20日的一个程序执行的一个日志，我们就定位到了样本启动的时间是5月20日2:06，那么怎么去查看，我们去查看事件查看器的时候，我们去查看系统日志，事件ID号是7045的时候去查看到的。5月20日，只要是样本落地之前，或者是暴力破解成功之前，他一定要先暴力破解，成功了之后他才可以进来，对不对？所以说我们只需要去查看，从他暴力破解开始的那个时间，一直往往后推，往后推，我们就可以去查看到他执行了哪些程序。那么我们去查看700，45的时候就定位到了在2:06:21的时候，就定位到了攻击者，同样创建了一个名为bot的一个服务。