我就假设我们现在是这有一个用户，他是作为攻击者的话，我们是输入了这条命令然后是传给了对方的机器去运行，那么我们现在是作为一个应用程序大家可以看到这是一个应用程序，那么这个时候。它。有几个东西，比如说如果说你能够找到这个痕迹是在进程上，那么你就能够通过进程查看是否存在一些网络连接。我们可以再这样来想一想，比如说我们打开任务管理器。打开任务管理器比如说假设你知道。假设你现在定位到了这样一个，你收集到了第一条信息是这样一个。 So的时候在这里是吧。假设你现在找到了这样一个进程，找到了它的id。

那么你就可以根据这玩意儿去找到它相应的一些。比如说是它的一些连接。网络连接比如说你可以知道他这个东西是用了哪个端口，我看一下。可以在这里可以看得到。应该没啥问题，我看看什么东西。这个 Tcp。连接怎么打开了，稍等一下，打开资源管理器，你就能够通过这个进程找到端口号和远程地址

这是第一步，这是第一种方式，也说这三个要素这画图中的这三个要素，其实他们都是能够作为一个相互关联的。如果说你能够找到这三要素的其中一种，那么如果说存在其他的。比如。说既存在进程又存在网络连接的话，那么你就能找到其他的。比如说你找到了一个可疑的网络包，比如说是防火墙告警，或者说你的IPS设备报警了，说某个东西正在做一个非法的一些连接，或者说执行的一些什么或者说传输的流量一些恶意的内容。这个时候比如说我们来开一下抓包，假设现在是抓到了一个包。现在是抓到了一个内容是一些恶意的网络数据包，如何从这个网络数据包中定位到这样一个东西，也非常的简单比如说先找到这个包之后看一下。看一下它的的这个端口我看一下。比如说在TCP协议里面。它的那个有一个端口是这个是TCP的源端口是333，我看这是返回来的。

端口是56329。那么这个时候你就可以去看一下是哪个程序正在用56329这个端口。我尝试一下能不能找得到。能够找到对应的一个pid202420240，这样的话再返返回到任务管理器20240就能够从这样一个网络数据包去找到一个，对应的进程那么找到对应的进程之后，你自然就能够看得到打开文件所在的位置，你就能够看到对应的一个样本。这就是常见的一些就是说这三个要素，当然日志中也是。有相关的一些东西。