2022-05-27 阅读(211)

好，这是一个人对不对？这其实是他的权限，他只可以和一个人去沟通，然后经理和经理之间是可以沟通，他可以和很多经理沟通，但是他发现这个经理他可以和领导沟通，那么他的权...

2022-05-27 阅读(98)

那么接下来就轮到了我们到0.1这一台域控1上面去进行分析和查看。那么为什么是0.1？不是0.2，不是0.3。这个是因为我们通过时间最早的这台电脑上面去排查和分析，就是被攻击时间最早...

2022-05-26 阅读(198)

我们直接看，5月10号的往上看一直看，看见没有？其他的还有什么wiMSEC这些都是什么？这些都是攻击者执行的一个时间，就执行的时候才会去存在的。所以说经排查攻击者在5月19号和...

2022-05-26 阅读(92)

由于10.10.1.50存在多个成功的攻击告警，所以我们就进行了升级排查，那么在什么？在c盘user、public公共目录下排查？这是下载，那么在这一个公共的目录下面，是不需要很高的权限，也...

2022-05-25 阅读(202)

首先第一个问题，反过来容易理解对不对？就是我们的受害者主动走出去内网，和外面的人聊天，是不是他们进行一个通话之后，攻击者在对我们的受害者进行一个控制，然后再让他去...

2022-05-25 阅读(141)

下面是一些请求的数据包。好，再往后我们依然还是通过我们的监测设备上面去发现，在5月19号7:15:40的时候，攻击者使用root账号，成功的登录了其他服务器的数据库，这依然是一个什...

2022-05-25 阅读(117)

那么接下来，我们就对11.50这一台PC电脑去进行排查。我们可以看到在这一个设备的告警上面，已经是攻击成功的一个状态了。那是发起了一个什么样的攻击？在攻击的详细信息里面，我...

2022-05-24 阅读(167)

那么攻击者，他也会说是想想上来去进行查看一些相关的信息，或者说更有助于它进行横向攻击渗透的一些信息收集的内容。好，那么他就有可能会登录对不对？那么登录我们再去排查...

2022-05-24 阅读(87)

你们通过win加r然后在cmd的那个窗口里面你们去输出，也可以去查看到自己之前使用过的一些程序和软件的一些相关信息。好，ok。既然攻击者干什么？我们推测他使用了攻击工具去操作...

2022-05-23 阅读(86)

通过445的这一个事件ID，我们就可以定位到它的一个服务的名字，以及这一个程序的路径，我们只需要在事件查看器当中的系统日志，在这个筛选当前日志的这个位置，我们去筛选445这...