👋 Привет, админы! Недавно столкнулся с интересной ситуацией: один из пользователей пожаловался, что антивирус ничего не находит, а система всё равно ведёт себя подозрительно. Решил копнуть и не зря. 🕵️‍♂️ В итоге нашёл внедрение в процесс через WMI. Да-да, старый добрый WMI стал каналом для персистентности малвари. Чтобы выявить такие вещи, добавил себе в регулярный аудит вот такую проверку: Get-WmiObject -Namespace "root\subscription" -Class FilterToConsumerBinding | Select-Object -Property Filter, Consumer А дальше уже идёт разбор через: Get-WmiObject -Namespace "root\subscription" -Class EventFilter Get-WmiObject -Namespace "root\subscription" -Class CommandLineEventConsumer ⚠️ Если видите странные команды, непонятные пути, особенно с PowerShell или cmd.exe - повод для расследования. Ну и напоследок - Регулярно просматривайте WMI-события. - Включите логирование WMI через Event ID 5861/5860 (Microsoft-Windows-WMI-Activity/Operational). - Используйте Sysmon - он хорошо ловит подобные фокусы (Event ID 1 + родительские процессы). 👉 @win_sysadmin