当您发现异常进程或远程控制行为时，应立即检查 Windows Defender 排除列表，检测 Cobalt Strike 内存注入，禁用实时保护进行深度扫描，检查任务和启动计划，清除可疑的浏览器扩展程序和缓存文件。Strike 可能通过这种方式实现隐蔽渗透。以下是检查和处理此问题的步骤：

本文运行环境：Dell XPS 15，Windows 11，检查 Windows Defender 是否被滥用

攻击者通常使用 mshta、powershell 或 wmic 等工具。如果 Windows Defender 配置为忽略恶意路径或进程，则可能被攻击者利用。

1、以管理员身份打开命令提示符，执行以下命令查看当前排除项：Get-MpPreference | Select-Object -ExpandProperty ExclusionPath

2、检查输出结果中是否存在可疑目录，例如临时文件夹、用户下载目录或可执行文件路径。

3、如果发现异常条目，请使用以下 PowerShell 命令将其删除：Remove-MpPreference -ExclusionPath "可疑路径" 二、测试 Cobalt Strike 的典型行为特征

Cobalt Strike 通常以内存注入模式运行，不写入磁盘，因此需要通过行为分析来识别其活动痕迹。常见表现为网络连接异常和远程线程创建。

1、切换到任务管理器的“详细信息”选项卡，查找多个 svchost.exe、dllhost.exe 或 msdtc.exe 实例。

2、右键单击这些进程，选择“转到详细信息”，记录它们的 PID 号。

4、检查是否存在与场外 IP 地址或非师见电影（如 50000）的 TCP 连接。3、禁用 Windows Defender 实时保护进行深度扫描

为防止恶意代码在扫描过程中传播，您可以暂时禁用实时保护，然后运行第三方防病毒工具进行全面检查。

1、进入“设置”→“隐私和安全”→“Windows 安全中心”→“病毒和威胁防护”。

2、单击“管理设置”，暂时关闭“实时保护”开关。

3、立即运行下载的 EDR 工具。

PatentPal 专利申请撰写

AI 软件自动生成专利申请内容 13 查看详情

4. 扫描完成后重新启用实时保护，确认系统无残留威胁。然后，打开任务计划程序。

2、浏览“任务计划程序库”，查找包含随机字符、虚假系统更新或备份任务的条目。

3、选中可疑任务，在“操作”选项卡中检查命令的执行路径。如果命令包含“-command”，则很可能调用了加密加载，应立即删除该任务。勾选组合键，勾选“download content”、“Cookie 和其他站点数据”、“图像和文档缓存”，并将时间设置为“过去一小时”。

以上是 LockBit 勒索软件使用 Windows Defender 加载 Cobalt Strike 的详细内容，更多内容请关注乐哥常识网其他相关文章！windows 如何解决任务栏卡死_Windows 任务栏无响应修复方法 windows 提示“explorer.exe 应用程序错误” 如何修复 explorer.exe 应用程序错误的修复方法