Mal-Seine:可以围网时为什么要打猎？

马尔塞纳河 如果您正在查看此内容，您应该查看 Kansa ( )。 一个参考脚本，用于从组织中的主机收集数据，以防止作恶。 脚本收集什么： 预取 使用 Powershell Get-Process 的进程（包括模块、线程等） 使用任务列表的进程（包括所有者） 使用 Sysinternals Handle.exe 打开句柄 DNS缓存 ARP缓存 带有进程名称和 PID 的 Netstat 使用 Sysinternals Autorunsc.exe 自动运行 比特转移 服务触发器 服务失败 WMI 事件使用者 Powershell 配置文件 所有输出都被复制到一个 zip 存档以供离线分析。 我曾经在 10 到 1000 台主机上运行过这个脚本或它的轻微变体，并从对数据的堆栈排名开始执行分析（参见 ）并查看异常值. 有一些商业产品可以收集大部分此类数据，并以更可靠的方式绕过 W