进程发现

对手可能会尝试获取有关系统上运行的进程的信息。获取的信息可用于了解网络中系统上运行的常见软件/应用程序。管理员或其他提升的访问权限可能会提供更好的进程详细信息。对手可能会在自动化发现期间使用进程发现中的信息来塑造后续行为，包括对手是否完全感染目标和/或尝试特定操作。 在Windows环境中，对手可以使用Tasklist实用程序通过cmd或Get-Process通过PowerShell获取运行进程的详细信息。还可以从本机API调用（如CreateToolhelp32Snapshot）的输出中提取有关进程的信息。在Mac和Linux中，这通过ps命令完成。对手还可以选择通过/proc枚举进程。 在网络设备上，可以使用网络设备CLI命令（如show processes）显示当前运行的进程。(引用: US-CERT-TA18-106A)(引用: show_processes_cisco_cmd)