收起

当U盘根目录下突现 SystemVolumeInformation.exe 文件时,资深IT人员应立即触发“命名异常”警报。该名称刻意省略空格、混淆大小写( SystemVolumeInformation System Volume Information ),且后缀为可执行的 .exe ——而Windows原生的 System Volume Information 是一个受 TrustedInstaller 所有权保护的隐藏系统文件夹,其路径为 \System Volume Information\ ,绝非可执行文件,更不可能存在于U盘根目录(U盘默认无系统还原功能)。此为典型的“仿名社工攻击”(Name-Spoofing Social Engineering),目标是诱导用户双击运行。

对5年以上经验的IT工程师而言,处置需覆盖TTPs(战术、技术与过程)三层:

单一杀软已失效。建议构建三层防护:

报告相同问题?