可疑文件

显示全部楼层 · 发表于 2023-8-8 00:07:07

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider" Guid="{3da494e4-0fe2-415c-b895-fb5265c5c83b}" />

  <EventID>2545</EventID>

  <Version>0</Version>

  <Level>2</Level>

  <Task>0</Task>

  <Opcode>0</Opcode>

  <Keywords>0x8000000000000000</Keywords>

  <TimeCreated SystemTime="2023-08-07T14:54:06.3164392Z" />

  <EventRecordID>10</EventRecordID>

  <Correlation />

  <Execution ProcessID="8748" ThreadID="2912" />

  <Channel>Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin</Channel>

  <Computer>DESKTOP-CR72B2K</Computer>

  <Security UserID="S-1-5-18" />

  </System>

- <EventData>
  <Data Name="Message1">checkNewInstanceData</Data>

  <Data Name="Message2">Read isNewInstanceData</Data>

  <Data Name="HRESULT">0x80070057</Data>

  </EventData>

  </Event>

=====================================

这个DLL无法通过PID查找更别说线程了，通过{3da494e4-0fe2-415c-b895-fb5265c5c83b}这个查找到 “dmenterprisediagnostics.dll”这个文件（WINDOSWS\system32文件夹下），现在无法上传文件样本，等有机会上传。

显示全部楼层 · 发表于 2023-8-8 09:02:58

能不能别总是对着正常的东西疑神疑鬼

显示全部楼层 · 发表于 2023-8-8 09:49:45

Hibike 发表于 2023-8-8 09:02
能不能别总是对着正常的东西疑神疑鬼

感谢解答~ 我也纳闷啊，通过百度，这个好像是和远程相关的东西，<Execution ProcessID="8748" ThreadID="2912" />中{Execution ProcessID="8748" }是PID，但真的无法查询到。这种无法查证的PID不可列入可疑行径吗？

你可以用微步云沙箱扫描下（我是看不懂的，注意Unicode处）。

显示全部楼层 · 发表于 2023-8-8 10:06:33

本帖最后由 Hibike 于 2023-8-8 10:09 编辑

人间风雪客发表于 2023-8-8 09:49
感谢解答~ 我也纳闷啊，通过百度，这个好像是和远程相关的东西，中{Execution ProcessID="8748" }是PID， ...

PID/ThreadID这种时效性强的东西，你事后检索当然很难检索到。没有相关日志留存就认为是无法查证的，靠着百度的一星半点的不准确描述就开始怀疑，我确实不觉得你这种行为是合理的。

"远程相关"...首先，系统正常的应用程序也会有遥测/收集错误信息并上传的需求；其次，你如何保证按文件名检索出的文件功能就一定符合你的设备上的文件功能呢？你甚至都没有校验这两个文件的同一性。

一味凭着浮萍般的知识储备整天在复杂的工具间迷转只会徒增你的烦恼。我建议你花钱让安全厂商的工程师给你吃颗定心丸。

显示全部楼层 · 发表于 2023-8-8 10:11:50

Hibike 发表于 2023-8-8 10:06
PID/ThreadID这种时效性强的东西，你事后检索当然很难检索到。没有相关日志留存就认为是无法查证的，靠着 ...

感谢指点，估计我电脑中毒太深，导致我也不敢乱远程。非常感谢指点。

[可疑文件] 可疑文件

评分