您现在的位置是:主页 > 模板分享 > 作品 >
管理员反馈:空文件夹将无法解释到Win11系统磁盘
发布时间:2025-04-17 22:42编辑:bet356亚洲版本体育浏览(109)
Home在4月16日报道说,技术媒体BornCity今天(4月16日)发表了一篇博客文章,报道德国IT管理员Christian发现Windows客户端系统磁盘突然突然有一个空的文件夹“ C:\ Virus”突然出现,并且最初怀疑它与趋势Micro Micro的Vision One Security Security软件有关。克里斯蒂安(Christian)的反馈说,这个问题的日期是2025年4月7日,当时他的公司的一位同事在C Windows客户端C驱动器的D驱动器目录下发现了一个空的文件夹,称为“病毒”。然后,克里斯蒂安(Christian)进行了调查,以确定文件夹资源。该公司总共使用了大约600个客户端设备。通过PDQ连接网络扫描,发现第一组文件夹出现在2024年4月10日的设备上,然后零星出现在另外22个设备上,但创建模式是无与伦比的。基督教公司使用趋势微观的愿景一作为端点安全解决方案,托管XDR(EXTENDED检测和响应)工具。他立即向制造商提交了支持请求,并联系了安全运营中心(SOC)。但是,SOC响应失败了,只是说没有网络威胁活动,建议删除空文件夹。基督徒对此响应感到不满意,因为文件夹控制列表(ACL)表明“本地管理员”组不包括一般用户错误的可能性。问题并没有结束。下周末,克里斯蒂安(Christian)审查了所有管理员帐户,并更改了Kathese密码,以排除攻击域“金票”的可能性。但是,文件夹继续在30个设备上扩展。 IT团队试图删除一些文件夹,但发现对某些设备上的文件夹进行了修订。通过审计政策,克里斯蒂安确认了一个设备,该文件夹是由“ corerviceshell.exe”过程创建的,具有系统权限,而趋势Micro将其视为PROC其基本程序的ESS。克里斯蒂安(Christian)将最新的发现还给了微观趋势,但支持团队最初否认该文件夹是由其产品创建的,声称Kuwarantino目录位于“ C:\ ProgramData \”中,而不是“ C:\ Virus”,并指责PowerShell的PDQ连接脚本。但是,克里斯蒂安(Christian)通过pag激活并将趋势微XDR解决方案侵入了客户,从而成功地脱颖而出了文件夹,并将其视为“最终证据”。 2025年4月14日。
下一篇:没有了