網(wǎng)絡攻防項目實戰(zhàn) 課件 洪順進 項目四 網(wǎng)絡信息安全應急響應

4.1安全事件日志分析任務描述云海網(wǎng)絡安全公司工程師小吳在2022年12月1號22：30登錄公司賬號時提示密碼錯誤，但管理員并未修改過密碼，其他賬號也出現(xiàn)同樣情況；經(jīng)過情況分析，初步判斷為攻擊者破解了管理賬號密碼后對管理賬號和員工賬號進行了密碼修改。因此，小吳計劃對服務器系統(tǒng)中的日志進行分析，查看是否有被惡意修改密碼等操作。通過本任務學習，能夠體驗滲透測試工程師在應急響應過程中對日志進行分析，判斷系統(tǒng)中是否存在可疑用戶操作和系統(tǒng)更改的工作環(huán)節(jié)。020301任務準備日志事件查看LogParser日志分析目錄任務準備01設置網(wǎng)絡實驗環(huán)境打開VMwareworkstation虛擬機軟件，點擊菜單欄中的“編輯”功能，在“虛擬網(wǎng)絡編輯器”窗口中勾選“僅主機模式”，將DHCP服務子網(wǎng)IP地址設置為192.168.200.0,子網(wǎng)掩碼設置為。設置網(wǎng)絡實驗環(huán)境單擊“DHCP設置”按鈕，將起始IP地址設置為“00”，結(jié)束IP地址設置為“00”，其余選項均為默認設置。開啟虛擬機操作系統(tǒng)準備好教學配套資源包中提供的WindowsServer2008R2虛擬機操作系統(tǒng)，將虛擬機網(wǎng)絡適配器的網(wǎng)絡連接模式設置為“僅主機模式”，并啟動操作系統(tǒng)。日志事件查看02日志事件查看方式1：在Windows操作系統(tǒng)中，點擊“開始”按鈕，點擊“所有程序”，點擊“附件”，選中“運行”選項方式2：（或通過按win+R的快捷鍵方式打開“運行”窗口），打開運行窗口后輸入“eventvwr”命令打開“事件查看器”窗口。步驟1打開“事件查看器”，查看安全日志日志事件查看打開“事件查看器”后，選擇“Windows日志”中的“安全”，點擊右側(cè)操作菜單中的“篩選當前日志”選項，可根據(jù)事件ID進行日志篩選。事件ID（新版本）描述事件日志4624成功登錄安全4625失敗登錄安全4634注銷成功安全4720創(chuàng)建用戶安全4728添加用戶到啟用安全性的全局組中安全4732添加用戶到啟用安全性的本地組中安全4733從安全性的本地組中刪除用戶安全4776成功/失敗的賬戶認證安全7030服務創(chuàng)建錯誤系統(tǒng)7040IPSEC服務的啟動類型已從禁用更改為自動啟動系統(tǒng)7045服務創(chuàng)建系統(tǒng)步驟1打開“事件查看器”，查看安全日志日志事件查看點擊“篩選當前日志”選項，在“所有事件ID”中輸入“4720”，點擊“確認”，進行篩選。步驟2查找創(chuàng)建用戶的事件日志事件查看查看篩選結(jié)果，發(fā)現(xiàn)在事件發(fā)生的時間22：30之后，沒有新創(chuàng)建的用戶步驟2查找創(chuàng)建用戶的事件日志事件查看點擊“篩選當前日志”選項，在“所有事件ID”中輸入“4625”，點擊“確認”，進行篩選。步驟3查看登錄失敗事件日志事件查看先點擊“清除篩選器”，清除之前的篩選結(jié)果。再點擊“篩選當前日志”選項，在所有事件ID中輸入“4625”，點擊“確認”，篩選登錄失敗事件。發(fā)現(xiàn)在無法登錄的22：30之后，存在多次登錄失敗事件，且記錄時間相近、嘗試登錄的賬號都是Administrator，因此懷疑存在暴力破解行為。步驟3查看登錄失敗事件日志事件查看日志事件查看先點擊“清除篩選器”，清除之前的篩選結(jié)果.再點擊“篩選當前日志”選項，在所有事件ID中輸入“4624”，點擊“確認”，篩選登錄成功事件。發(fā)現(xiàn)在多次登錄失敗之后，在22：41-22：45之間，出現(xiàn)了用戶登錄成功的記錄。經(jīng)過觀察，發(fā)現(xiàn)22：41分Administrator登錄成功，其登錄類型為3，而22：43分的登錄記錄，其登錄類型為10，可知攻擊者通過字典破解管理員密碼后，遠程登錄目標機。步驟4查看登錄成功事件日志事件查看日志事件查看結(jié)合事件發(fā)生時段、登錄失敗記錄、登錄成功記錄、注銷記錄，因此推斷，有攻擊者對主機進行暴力破解，在短時間內(nèi)產(chǎn)生大量的暴力破解失敗日志，在暴力破解失敗后有登錄成功的日志，說明攻擊者在嘗試暴力破解后成功獲取賬戶密碼、遠程登錄主機，在后續(xù)排查時需要關注暴力破解的IP地址及暴力破解時間。日志事件查看先點擊“清除篩選器”，清除之前的篩選結(jié)果。再點擊“篩選當前日志”選項，在所有事件ID中輸入“4634”，點擊“確認”，進行篩選發(fā)現(xiàn)2022年12月1日22：46時，Administrator用戶遠程登錄注銷成功。后續(xù)可基于登錄成功到注銷的時間段內(nèi)，對該用戶進行排查。步驟5查看注銷成功事件日志事件查看日志事件查看先點擊“清除篩選器”，清除之前的篩選結(jié)果。再點擊“篩選當前日志”選項，在所有事件ID中輸入“4724”，點擊“確認”，進行篩選。發(fā)現(xiàn)2022年12月1日22：43-22：44時，攻擊者修改了ben、jack、mary三個用戶的密碼，導致這三名員工無法登錄賬號。步驟6查看密碼更改事件日志事件查看日志事件查看先點擊“清除篩選器”，清除之前的篩選結(jié)果。再點擊“篩選當前日志”選項，在所有事件ID中輸入“4732，4733”，點擊“確認”，進行篩選。發(fā)現(xiàn)2022年12月1日22：45時，攻擊者修改了mary用戶的組，將其從Users組調(diào)整為Administrators，導致其權限等同管理員，懷疑攻擊者準備后續(xù)使用該賬戶對目標機進行操作。步驟7查看組更改事件日志事件查看日志事件查看日志事件查看綜上分析，推斷有攻擊者對主機進行暴力破解，成功獲取管理員賬戶密碼，并通過遠程連接登錄主機，登錄后對其中的用戶進行了密碼，導致公司員工無法正常登錄賬戶，并且修改了mary用戶的組使其權限等同于管理員，懷疑攻擊者為了降低被發(fā)現(xiàn)的概率，準備后續(xù)使用該賬戶對目標機進行操縱。LogParser日志分析03LogParser日志分析為了方便日志分析，可以先把日志文件復制到C盤。日志的默認位置：%Systemroot%\System32\Winevt\Logs\Application.evtx。打開“此電腦”，進入“C:\Windows\System32\winevt\Logs”目錄，可以看到很多日志文件。復制其中的“Security.evtx”安全日志、“System.evtx”系統(tǒng)日志、“Application.evtx”應用程序日志三個文件，粘貼到“C盤”目錄下。步驟1復制日志文件LogParser日志分析在LogParser程序命令行輸入“LogParser.exe-i:EVT-o:DATAGRID“SELECT*FROMc:\Security.evtxwhereEventID=4625andTimeGenerated>'2022-12-0122:30:00'”點擊“Allrows”查看所有查詢記錄，發(fā)現(xiàn)短時間內(nèi)存在大量登錄失敗記錄，查看這些記錄的message信息，發(fā)現(xiàn)22：41分的8條登錄失敗記錄有異常，工作站均顯示為kali202。步驟2查詢登錄失敗的事件LogParser日志分析LogParser日志分析在LogParser程序命令行輸入”LogParser.exe-i:EVT-o:DATAGRID“SELECT*FROMc:\Security.evtxwhereEventID=4624andTimeGenerated>'2022-12-0122:30:00'”查詢22：30之后的登錄事件，發(fā)現(xiàn)與事件發(fā)生時間相關的記錄有6條。查看這6條記錄的message信息，發(fā)現(xiàn)22：41分的登錄記錄有異常，工作站顯示為kali202；22：43分的登錄類型為10，屬于遠程登錄。說明攻擊者利用kali暴力破解密碼后，在22：41分遠程登錄目標機。步驟3查詢登錄成功的事件LogParser日志分析步驟3查詢登錄成功的事件LogParser日志分析繼續(xù)輸入“LogParser.exe-i:EVT-o:DATAGRID“SELECTEXTRACT_TOKEN(Message,13,'')asEventType,TimeGeneratedasLoginTime,EXTRACT_TOKEN(Strings,5,'|')asUserName,EXTRACT_TOKEN(Message,38,'')asLoginIpFROMc:\Security.evtxwhereEventID=4624andTimeGenerated>'2022-12-0122:30:00'”發(fā)現(xiàn)遠程登錄IP地址為01，懷疑是攻擊者IP地址。步驟3查詢登錄成功的事件實施步驟LogParser日志分析繼續(xù)在LogParser程序命令行輸入”LogParser.exe-i:EVT-o:DATAGRID“SELECT*FROMc:\Security.evtxwhereEventID=4634andTimeGenerated>'2022-12-0122:30:00’”發(fā)現(xiàn)在22：46分遠程登錄注銷成功，說明攻擊者登錄后的整體操作時間范圍為22：41分-22：46分。步驟4查詢注銷成功的事件實施步驟LogParser日志分析在LogParser程序命令行輸入”LogParser.exe-i:EVT-o:DATAGRID“SELECT*FROMc:\System.evtxwhereEventID=7045andTimeGenerated>'2022-12-0122:30:00’”查詢系統(tǒng)日志中服務創(chuàng)建記錄，發(fā)現(xiàn)無記錄，說明攻擊者并沒有創(chuàng)建服務。步驟5查看系統(tǒng)日志LogParser日志分析在LogParser程序命令行輸入”LogParser.exe-i:EVT-o:DATAGRID"SELECTTimeGenerated,EventID,MessageFROMc:\System.evtxwhereEventID=6005orEventID=6006"查詢歷史開關機記錄，發(fā)現(xiàn)無異常時段開關機記錄，說明攻擊者操作后并沒有關掉目標機，可能想達到隱藏目標機被攻擊過的效果。步驟6系統(tǒng)歷史開關機記錄LogParser日志分析謝謝觀看4.2惡意軟件排查任務描述云海網(wǎng)絡安全公司工程師小吳今日發(fā)現(xiàn)網(wǎng)絡中的主機正常連接網(wǎng)絡卻無法上網(wǎng)，在使用記事本或計算器時會彈出其它窗口，小吳初步判斷可能有攻擊者獲取了系統(tǒng)權限后遠程登錄本機并發(fā)送了惡意軟件進行映像劫持等操作；因此，他計劃對該主機進行惡意軟件排查，查看是否有相應痕跡。通過本任務學習，能夠體驗滲透測試工程師在應急響應過程中對惡意軟件進行排查、提取樣本和惡意軟件清除等工作環(huán)節(jié)。0201任務準備PCHunter軟件目錄任務準備01設置網(wǎng)絡實驗環(huán)境打開VMwareworkstation虛擬機軟件，點擊菜單欄中的“編輯”功能，在“虛擬網(wǎng)絡編輯器”窗口中勾選“僅主機模式”，將DHCP服務子網(wǎng)IP地址設置為192.168.200.0,子網(wǎng)掩碼設置為。設置網(wǎng)絡實驗環(huán)境單擊“DHCP設置”按鈕，將起始IP地址設置為“00”，結(jié)束IP地址設置為“00”，其余選項均為默認設置。開啟虛擬機操作系統(tǒng)準備好教學配套資源包中提供的Windows7、kali2021虛擬機操作系統(tǒng)，將虛擬機網(wǎng)絡適配器的網(wǎng)絡連接模式設置為“僅主機模式”，并啟動操作系統(tǒng)。開啟handler監(jiān)聽模塊在kali2021操作系統(tǒng)中進行msf框架，開啟handler監(jiān)聽模塊。打開測試程序?qū)⒔虒W資源庫中的“hack.exe”文件復制到Windows7操作系統(tǒng)中并雙擊運行該文件。PCHunter軟件02PCHunter軟件在Windows7操作系統(tǒng)中打開PCHunter軟件步驟1排查網(wǎng)絡PCHunter軟件選擇菜單欄中的“網(wǎng)絡”選項卡，選擇“端口”選項。在顯示的結(jié)果中看到本地計算機的隨機端口正在連接遠程00的4444端口，對應進程Hacker.exe為可疑進程，進程Id為3628，猜測此網(wǎng)絡連接為非法連接。步驟1排查網(wǎng)絡PCHunter軟件步驟1排查網(wǎng)絡PCHunter軟件選擇“進程”選項卡，在軟件任意處右擊，在彈出的快捷菜單中選擇“校驗所有數(shù)字簽名”選項，在顯示的結(jié)果中可以看到進程按照不同的顏色（即數(shù)字簽名的情況）進行排列。步驟2排查進程PCHunter軟件PCHunter軟件PCHunter軟件對圖中紅色和藍色的進程進行重點排查，發(fā)現(xiàn)其中也出現(xiàn)了Hacker.exe進程，結(jié)合網(wǎng)絡連接中的發(fā)現(xiàn)，判斷其可能為惡意軟件。右擊“Hacker.exe”進程，在彈出的快捷菜單中選擇“定位到進程文件”選項，打開惡意軟件所在的目錄。步驟2排查進程PCHunter軟件PCHunter軟件繼續(xù)右擊“Hacker.exe”進程，在彈出的快捷菜單中選擇“在線分析”選項，將找到的進程文件拖到網(wǎng)頁中進行分析，結(jié)果顯示該文件有較大危險性，推斷Hacker.exe進程文件為惡意軟件。步驟2排查進程PCHunter軟件PCHunter軟件點擊“啟動信息”選項卡，逐一查看“啟動項”、“服務”和“計劃任務”選項卡，并在空白處右擊，在彈出的額快捷菜單中，選擇“校驗所有數(shù)字簽名”選項進行排列。經(jīng)過排查，啟動項、服務均沒有發(fā)現(xiàn)可疑記錄，但任務計劃中發(fā)現(xiàn)了可疑啟動項“GatherNetworkInfo”，其描述為“網(wǎng)絡信息收集器”，懷疑是攻擊者為了監(jiān)聽目標機設置的啟動程序。步驟3排查啟動信息PCHunter軟件查看啟動項PCHunter軟件查看服務PCHunter軟件查看計劃任務PCHunter軟件選擇“內(nèi)核鉤子”選項卡，重點關注“SSDT”、“鍵盤”和“鼠標”選項卡，在內(nèi)核鉤子中的SSDT、鍵盤、鼠標中均沒有發(fā)現(xiàn)可疑記錄。步驟4排查內(nèi)核鉤子PCHunter軟件查看SSDTPCHunter軟件查看鍵盤PCHunter軟件查看鼠標PCHunter軟件點擊“內(nèi)核”選項卡并在下一級選擇“對象劫持”選項卡，在顯示的結(jié)果中看到?jīng)]有發(fā)生對象劫持。步驟5排查對象劫持PCHunter軟件點擊“系統(tǒng)雜項”選項卡并在下一級選擇“映像劫持”選項，在顯示的結(jié)果中可以看到惡意軟件將calc.exe（計算器）進程和notepad.exe（記事本）進程偽裝成cmd.exe（命令提示符）進程，導致用戶使用時，雙擊啟動記事本，打開的卻是命令提示符窗口。步驟6排查映像劫持PCHunter軟件點擊“網(wǎng)絡”選項卡并在下一級選擇“Hosts文件”選項卡，在顯示的結(jié)果中可以看到惡意軟件對Hosts文件進行了纂改，導致DNS解析產(chǎn)生問題，導致用戶無法正常上網(wǎng)。步驟7排查Hosts文件謝謝觀看4.3流量數(shù)據(jù)分析任務描述云海網(wǎng)絡安全公司的工程師小吳近期發(fā)現(xiàn)網(wǎng)絡的ftp服務器上總是莫名多出一些文件，本來以為時某個員工上傳，可詢問了整個部門所有員工，卻發(fā)現(xiàn)沒有人上傳過文件。經(jīng)過簡單的分析后，猜測有攻擊者破解了部門ftp服務并獲取了ftp上的文件；因此，他計劃對當天的流量數(shù)據(jù)包進行分析，查看是否存在可疑IP，找到攻擊成功的原因或漏洞。通過本任務學習，能夠體驗滲透測試工程師在應急響應過程中利用Wireshark對獲取的數(shù)據(jù)包進行分析的工作環(huán)節(jié)。020301任務準備流量清洗入侵流量追蹤目錄任務準備01設置網(wǎng)絡實驗環(huán)境打開VMwareworkstation虛擬機軟件，點擊菜單欄中的“編輯”功能，在“虛擬網(wǎng)絡編輯器”窗口中勾選“僅主機模式”，將DHCP服務子網(wǎng)IP地址設置為192.168.200.0,子網(wǎng)掩碼設置為。設置網(wǎng)絡實驗環(huán)境單擊“DHCP設置”按鈕，將起始IP地址設置為“00”，結(jié)束IP地址設置為“00”，其余選項均為默認設置。開啟虛擬機操作系統(tǒng)準備好教學配套資源包中提供的WindowsServer2008R2虛擬機操作系統(tǒng)，將虛擬機網(wǎng)絡適配器的網(wǎng)絡連接模式設置為“僅主機模式”，并啟動操作系統(tǒng)。流量清洗02流量清洗由于數(shù)據(jù)包過大或通過分析知曉涉及的具體協(xié)議，可對數(shù)據(jù)包進行流量清洗，減少無用數(shù)據(jù)，便于后續(xù)的過濾和分析。流量清洗打開Wireshark軟件，點擊“文件”選項卡，選擇“打開”選項，找到獲取到的數(shù)據(jù)包“protest.pcapng”。步驟1打開數(shù)據(jù)包點擊wireshark軟件的“統(tǒng)計”選項卡，選擇“協(xié)議分級”選項，可以打開wireshark協(xié)議分級統(tǒng)計窗口，仔細觀察該窗口內(nèi)的協(xié)議，從中看到占比較大的是ftp協(xié)議和ftp-data。步驟2查看協(xié)議流量清洗wireshark協(xié)議分級統(tǒng)計流量清洗在windowsServer2008R2操作系統(tǒng)中按下“win+R”打開“運行”功能，輸入“cmd”,打開cmd終端命令行，繼續(xù)輸入“cdc:\ProgramFiles\Wireshark”進入wireshark安裝目錄。步驟3進入Wireshark安裝目錄流量清洗在cmd終端命令行輸入“tshark-rc:\partm\protest.pcapng-Y"ftp||ftp-data"-wc:\partm\result.pcap”命令調(diào)用wireshark自帶的tshark工具對流量包進行流量清洗，過濾出ftp和ftp-data流量并保存為新的流量文件result.pcap文件。步驟4使用tshark工具進行流量清洗入侵流量追蹤03入侵流量追蹤在WindowsServer2008R2系統(tǒng)中找到result.pcap文件，雙擊該文件后，wireshark軟件自動加載。步驟1入侵流量追蹤點擊wireshark軟件的“統(tǒng)計”選項卡，點擊“對話”選項(Conversations)，打開“對話”窗口，選擇“IPv4”選項，查看IPv4流量走向情況，在結(jié)果中可疑看到除了本機ip（00）外還有兩個ip地址存在。步驟2入侵流量追蹤在“對話”窗口中選擇“TCP”選項，查看TCP流量走向情況，發(fā)現(xiàn)只有上述兩個ip地址的主機與本機存在TCP協(xié)議，由此判斷，可能有攻擊者IP。步驟3入侵流量追蹤入侵流量追蹤在“應用顯示過濾器···<Ctrl-/>”框內(nèi)，輸入過濾條件“ip.addr==”進行過濾，在過濾結(jié)果中看到記錄正常，不存在暴力破解的情況，但有message.jpeg文件的相應記錄。步驟4入侵流量追蹤對ip：進行過濾入侵流量追蹤分析找出可疑語句“Request：RETRmessage.jpeg”，右擊“追蹤流”，選擇“TCP流”選項，進行TCP跟蹤，發(fā)現(xiàn)該ip地址用戶登錄ftp服務器后，成功下載了ftp服務器中的“staffmessage.xlsx”文件，但沒有執(zhí)行過上傳文件的命令。步驟4入侵流量追蹤追蹤TCP流入侵流量追蹤查看執(zhí)行命令入侵流量追蹤在“應用顯示過濾器···<Ctrl-/>”框內(nèi)，輸入過濾條件“ip.addr==00”進行過濾，發(fā)現(xiàn)該ip存在登陸失敗的記錄，即Info顯示“Response：530Usercannotlogin.”，發(fā)現(xiàn)短時間內(nèi)存在多條登錄失敗記錄，猜測攻擊者進行暴力破解操作。步驟5入侵流量追蹤入侵流量追蹤繼續(xù)觀察流量發(fā)現(xiàn)在大量登錄失敗的記錄之后，出現(xiàn)了登錄成功的記錄，，即Info顯示“Response：230Userloggedin.”，推斷00的主機可能為攻擊者。步驟5入侵流量追蹤入侵流量追蹤輸入“ip.addr==00”條件繼續(xù)觀察是否有可疑文件上傳記錄，發(fā)現(xiàn)后續(xù)出現(xiàn)了可疑文件“message.jpeg”相關的上傳記錄和數(shù)據(jù)。步驟6入侵流量追蹤分析“Request：STOR/message.jpeg”，右擊“追蹤流”并選擇“TCP流”選項，進行TCP跟蹤，發(fā)現(xiàn)攻擊者登錄ftp服務器后，下載了ftp服務器中的“clientmessage.xlsx”和“message.xlsx”文件，上傳了“message.jpeg”文件。步驟7入侵流量追蹤入侵流量追蹤由此，結(jié)合先前推測的可疑ip地址和ftp流量，可獲得如下信息：1)攻擊者ip為00。2)攻擊者通過字典進行暴力破解，獲取ftp的用戶名和密碼。3)攻擊者下載了ftp服務器上的兩個文件。4)攻擊者往ftp服務器上上傳了一個可疑文件。謝謝觀看4.4系統(tǒng)安全排查任務描述云海網(wǎng)絡安全公司托管的服務器近期遭受網(wǎng)絡攻擊，導致服務器出現(xiàn)運行不穩(wěn)定的情況，工程師小吳決定對系統(tǒng)進行安全排查，結(jié)合系統(tǒng)破壞情況、攻擊者的可能途徑對網(wǎng)絡連接、可疑進程等進行排查，盡可能確保系統(tǒng)后續(xù)安全穩(wěn)定的運行。通過本任務學習，能夠體驗滲透測試工程師在應急響應過程中對網(wǎng)絡及進程、可疑用戶、可疑文件、開機啟動項、服務自啟動等進行排查的工作環(huán)節(jié)。0201任務準備系統(tǒng)安全排查目錄任務準備01設置網(wǎng)絡實驗環(huán)境打開VMwareworkstation虛擬機軟件，點擊菜單欄中的“編輯”功能，在“虛擬網(wǎng)絡編輯器”窗口中勾選“僅主機模式”，將DHCP服務子網(wǎng)IP地址設置為192.168.200.0,子網(wǎng)掩碼設置為。設置網(wǎng)絡實驗環(huán)境單擊“DHCP設置”按鈕，將起始IP地址設置為“00”，結(jié)束IP地址設置為“00”，其余選項均為默認設置。開啟虛擬機操作系統(tǒng)準備好教學配套資源包中提供的Windows7、kali虛擬機操作系統(tǒng)，將虛擬機網(wǎng)絡適配器的網(wǎng)絡連接模式設置為“僅主機模式”，并啟動操作系統(tǒng)。開啟handler監(jiān)聽模塊在kali操作系統(tǒng)中進行msf框架，開啟handler監(jiān)聽模塊。打開測試程序?qū)⒔虒W資源庫中的“hack.exe”文件復制到Windows7操作系統(tǒng)中并雙擊運行該文件。系統(tǒng)安全排查02系統(tǒng)安全排查在Windows7操作系統(tǒng)中按“win+R”鍵打開“運行”功能，輸入“cmd”打開終端命令行窗口，繼續(xù)輸入“netstat-ano”，查看當前的網(wǎng)絡連接，觀察顯示的結(jié)果推測ESTABLOSHED（連接成功）為可疑，其PID為3628。步驟1排查網(wǎng)絡連接系統(tǒng)安全排查c系統(tǒng)安全排查方式1：在cmd終端命令行輸入“tasklist/svc|findstr3628”命令進行進程定位，發(fā)現(xiàn)存在Hacker.exe進程，該進程不屬于系統(tǒng)進程且命名陌生，推測其為可疑網(wǎng)絡連接進程。步驟2排查進程系統(tǒng)安全排查方式2：打開“任務管理器”，選中Hacker.exe進程，右擊進程在彈出的快捷菜單中，選擇“打開文件位置”選擇。步驟2排查進程c系統(tǒng)安全排查在Windows7操作系統(tǒng)中，右擊“計算機”圖標，在彈出的快捷菜單中選擇”管理”打開計算機管理窗口，雙擊打開“本地用戶和組”選項卡