上周我们从 SIEM 日志中注意到,Windows 命令行在初始命令后添加了一个额外的空格。示例:
ping 1.1.1.1变成ping 1.1.1.1net user bob /do变成net user bob /do
我不知道这种情况是什么时候开始发生的,我在网上没有找到任何关于此问题的信息。当然,问题是,如果您在日志中搜索并寻找特定命令,并且输入了一个空格,您将找不到它。PowerShell 不会发生这种情况,完全相同的命令无需额外空格即可正确记录。
其他人可以在他们的环境中验证这一点吗?这只是最近在 Windows 10 中开始发生的一个问题吗?