July 3
Следы использования PsExec
Продолжаем разгонять полезные наработки:
Наличие следов запуска файла psexecsvc.exe в артефакте AmCache.hve может говорить о том, что на системе был использован инструмент PSEXEC для выполнения удаленных команд или запуска процессов. Артефакт AmCache.hve содержит информацию о первом времени выполнения файлов, включая psexecsvc.exe, что указывает на то, что на машине была запущена полезная нагрузка с помощью PsExec.