【aES】主机查杀存在webshell文件,没找到源文件

【问题背景】

MGR上有一主机高威胁安全事件

【问题处理】

1、客户针对该服务器指定目录做自定义扫描，查杀出来是木马病毒，但是对应路径下找不到文件，文件隐藏已关闭

PS：这里报木马原因是，webshell检测是单独的定时检测。自定义扫描不支持扫webshell，但是可以检测出是木马

3、清除缓存重新查杀（修改注册表之前先禁用agent服务，改完再启用）

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\SF\EDR\SAV
在SAV项中添加DWORD值：
CleanCache  -- 该值1为清缓存、0为不清 （3.5.10以前版本设置此值）
CleanCacheEngine  -- （3.5.10版本及以上设置此值）该值对应如下图，例如要清 SAVE+信誉库+本地cache 的缓存，则对应值为 32+8+2 = 42
最后重启EDR服务（重启Agent）

4、清除缓存后查杀依旧

5、服务器上powershell执行命令：ls -Path [路径] -Force，是有这个文件的

6、查看对应路径文件夹选项，勾选隐藏受保护的操作系统文件能看到文件了

【排查结论】

黑客隐藏了文件类型为系统文件，所以文件管理器看不到；勾选了展示系统文件后可以正常看到，判断是恶意文件建议查杀隔离处理