查看网络连接和进程信息是否有异常,有可能是恶意外联程序是定时连接的,可在计划任务中查找
查看配置文件是否被恶意加载进去了别的地址,然后对关键代码进行深入排查。
事件分析或者日志那里看看,再者查看进程信息、网络连接状态,排查是否存在异常
1、首先需要确认信息来源,到底是否可靠(中过太多坑);
2、根据C2地址关联一下来源是否有特定源;
3、是否存在定时连接嫌疑,检查机器上是否存在明显问题,如:开放rdp等。
4、定时任务等常规安全问题排查;
5、是否由于外界移动设备插入导致运行某些软件,关闭计算机无重启行为等等。
