应急响应-Windows端口与进程排查

netstat -ano | findstr “ESTABLISHED” 获取正常连接的IP地址和进程信息

tasklist | findstr "2644"  定位PID进程

wmic process where "name='SogouExplorer.exe'" get executablepath  通过wmi定位进程路径

上述定位完成之后开始对可疑进程进行封禁，这里是用火绒即可完美操作

安全设置-高级防护-IP协议控制-添加规则 对某个程序进程禁用网络