通过445的这一个事件ID，我们就可以定位到它的一个服务的名字，以及这一个程序的路径，我们只需要在事件查看器当中的系统日志，在这个筛选当前日志的这个位置，我们去筛选445这个ID就可以得到相关的一些信息。那么再根据可疑程序的一个落地时间，那么我们就可以对3点3点以后的这一些、日志都进行一些详细的去查看。

那么我们就查看到了当前这张截图上面所展示的信息，服务的名字是叫什么，然后路径是哪个，路径是然后是什么时候启动的？是3:24:35的时候启动的。以什么样的类型去启动？是以用户的服务模式去进行启动的，而且是自启动的一个状态。

好，那么这个定位恶意样本以后，我们所分析得到的一些相关信息，随后我们还还查到了就是在查看相关文件的时候，就是历史文件的时候，我们看到了很多的link文件，这些文件我们只要仔细去观察，就是我们在日常使用的时候，这样子吧我给大家演示一下，这个就是我们当前演示的一个结果，我们会看到不管是可执行程序也好，还是这个文件夹也好，还是说是这个 Html的一个文件也好，或者说一些丢失文件也好，等等，你但凡只要是使用过，那么在近段时间以内，他都是所谓的link文件， link文件不是link，好，，那么就说明攻击者肯定是执行了某一些东西，执行某一些东西，但是具体是什么我们也不知道对不对？

但是我们通过对这个 link的文件的一个收集之后，我们发现发现就是攻击者查看了110.192服务器的circle，10.192点net BIos以及10点120.128，以及10.1.3版文件，那么这些文件它有很多很多，那么我们就推断攻击者他在5月19号的时候，在某一个时间段，注意在某一个时间段攻击者使用工具。对10.192的16个段以及10点零16个段的服务器进行了扫描，而且我们在这个录音上面可以看到是在recent这里面是可以查看到的。