我们直接看，5月10号的往上看一直看，看见没有？其他的还有什么wiMSEC这些都是什么？这些都是攻击者执行的一个时间，就执行的时候才会去存在的。所以说经排查攻击者在5月19号和5月20号执行了一些可执行程序。这个这个结论是这么得出来的。没有这些。好，接下来我们还要去排查什么？排查程序的执行日志，是在这个事件查看器里面的7分45的这一个什么？这个事件ID我们也可以去查看，好我们去看这里这个图不太清晰，给大家放大一下。

好，我们根据它的落地时间进行一个推演，就一直推一直看7045是不是？你看7045在时间段里面的话，就这一个，我们看到没有？来源记录时间。当然了，这个是就是在原先的报告上面，它是看不清的，但是我这里是用自己的电脑，好，我们可以看到一个记录时间以及什么，以及用户的一个信息和计算机的信息，这是什么？这是服务名。我再放大点，看到没有？这是什么？这是服务名称。

Execute bat最后去执行了这一个，然后服务的类型是用户启动模式按需启动，这个就是我们得到的一些相关信息，但是我们去查那个样本已经删除了样本，已经删除了，服务名是什么？服务名是 beauty Beauty ahhhhh beauty beauty。好，这个命令我们去通过搜索之后，我们就知道了，这个bat文件它虽然删除了，但是我们要知道，他实现了这个东西以后。到底是做了什么样的事情。我们在这里看到这个很明显的，我们通过在公网上进行一个搜索，我们得到了一个相应的结果。

这里我给大家看一下，你去哪了？这里，好，那这个bat我们通过去搜索这些相关的字样之后，我们在公网上，得到了这是一个攻击手法，是绕过CV120191040基于域控委派的一个攻击手法，那功能和危害就是可以导出域管理员的哈希值，也就是可以获取到域管理员的一个凭证，简单来说就是可以就是已经获得了域管理员一个账号，那么它可以通过这个账号去进行登录，然后再进行横向攻击。好，那么现在，我们回去我们最开始的时候，再往后我们还定位到了什么？定位到了登录时间，因为攻击者往往有可能会登录，我们一样的要去查看一下。