在控制面板 -> 程序和功能下,我看到 CrowdStrike Windows Sensor 最近已安装,但我没有安装它。我实际上无法在计算机上的任何地方找到该程序。我该怎么做才能查看该程序来自哪里、安装在哪里、是否正在运行以及是否合法?
我应该补充一下,这是一台旧的工作电脑。我有一段时间没有连接到工作网络了,所以我想这意味着我不会收到更新,但我想这个假设可能是错误的。
答案1
你是怎么感染的?很有可能是系统管理员将它推送到你的系统中。CrowdStrike 是一款通常用于企业环境的防病毒产品。安装程序日志现在可能已被覆盖,但你可以肯定它来自你的系统管理员。
你可以运行
sc 查询 csagent
查看其运行状态,
网络状态-f
查看 CS 传感器云连接以及与 aws 的一些连接。
这些位置可能存在一些原木残留:
%LOCALAPPDATA%\Temp
%SYSTEMROOT%\Temp
CS 安装在:
C:\Windows\System32\drivers\CrowdStrike
答案2
CrowdStrike 是一款防病毒程序。您的工作很可能使用它,并且它可能一直存在于您的计算机上,或者至少自您上次连接到工作环境以来一直存在。CrowdStrike 中有一个设置,允许部署的传感器(即计算机上的传感器)自动更新。如果相关计算机已连接到互联网,那么它很可能会自行自动更新,因为有新版本的 Windows 传感器可用。
答案3
您可以使用 WMI (Win32_Product) 并 grep 此模式“Crowdstrike”,“CrowdStrike, Inc.”或使用 WMI (Win32_Service) 并 grep 此模式 csagent 正在运行