该标签下有 1 篇文章
IOC(失陷指标)是入侵留下的痕迹=已知恶意的文件哈希、通信对端 IP/域名、URL、异常进程等。其价值在于能机械地检测并拦截已知的坏东西。但它是攻击者可以随手丢弃、随意更换的事后线索,所以 IOC 比对只是“最后的比对材料”,并非万能。真正的关键是不会着火的设计(最小权限・打补丁・MFA)。