技可达工作室
46
2024-07-25
之前看过一篇文章,讲抓木马这块。
来了解一下复杂之眼EDR的异常HASH的聚合计数排行榜,出现行为有异常的,会把哈希提示出来排序,出现异常行为就是有问题,需要排查机器了。上面截图讲的策略,一个应用程序只在客户机器上运行一次,在全网别的机器上从来没运行过没有痕迹说明存在问题的可能性很大,从复杂之眼EDR上可以做基于遥测数据,新发现的应用程序提示功能,客户机器上跑了什么程序会进行排序计数,可以进行威胁情报的研判。