–杰思獵鷹平臺提示異常訪問告警�;
–回溯微隔離訪問日志����,迅速定位可疑主機(jī);
–鎖定與之相關(guān)的進(jìn)程PID���;(根據(jù)進(jìn)程PID查找相關(guān)進(jìn)程關(guān)鍵指標(biāo)���,發(fā)現(xiàn)該進(jìn)程為rundll32,父進(jìn)程為未簽名的shellcode,子進(jìn)程為cmd并調(diào)用了其他程序)
–通過綜合分析����,判斷該進(jìn)程被植入了后門,存在與遠(yuǎn)程C&C服務(wù)器通信的風(fēng)險�����;
–隨即通過杰思獵鷹遠(yuǎn)程阻止該進(jìn)程�。
來源:中國評論網(wǎng)
