–杰思獵鷹平臺提示異常訪問告警;
–回溯微隔離訪問日志�����,迅速定位可疑主機�����;
–鎖定與之相關(guān)的進程PID��;(根據(jù)進程PID查找相關(guān)進程關(guān)鍵指標(biāo)����,發(fā)現(xiàn)該進程為rundll32�,父進程為未簽名的shellcode�,子進程為cmd并調(diào)用了其他程序)
–通過綜合分析���,判斷該進程被植入了后門���,存在與遠(yuǎn)程C&C服務(wù)器通信的風(fēng)險;
–隨即通過杰思獵鷹遠(yuǎn)程阻止該進程��。
來源:中國評論網(wǎng)
