1.net user 查看当前有哪些用户
2.net localgroup administrators 查询administrators最高权限组有哪些用户
3.net user administrator 查询这个用户上次登录的日期
4.找出异常账号上次登录日期修改的时间,看攻击者释放了什么文件。
5.netstat -ano查看有哪些异常的进程及端口,然后找出异常的进程的PID号进行分析
6.tasklist|findstr PID号查询端口对应的异常进程程序
7.用任务管理器查找对应的进程所在的程序位置
8.查看是否有异常的服务
9.运行msconfig查询是否有异常的启动项
10.服务=》隐藏所有windows服务
11.启动项=>启动找出异常的启动项在注册表regedit上找出对应的删除即可
12.删除异常服务防住木马再次感染 sc delete 服务名称 services.msc查看服务或者net start
13.上述为大概了解入侵者在什么地方留下什么异常痕迹
14.netstat -ano 查询开放了哪些端口,在windows防火墙是否端口封禁
15.1.web层漏洞入侵的,系统漏洞入侵的,查看是否有可以的端口进行通信,查看web目录下是否有一句话木马等。
16.查看防火墙规则是否屏蔽了危险的端口
17.%systemroot%system32config 查看系统日志
18.eventvwr.msc 查看日志是否有入侵的迹象