声明

仅供学习，禁止用于违法行为。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

本文转载于鹏组安全

1、自动化查杀

1、安装杀毒软件（例如：360安全卫士、火绒安全，电脑管家），更新最新病毒库，进行杀毒扫描

2、使用webshell查杀工具进行后门木马查杀（D盾、河马）

3、网站用户及系统用户安全

1、网站服务器或主机是否存在弱口令用户，有无对外开放端口（例如：3389）

      向相关的网站管理人员了解情况，如果存在弱口令，请立即更改。

2、主机是否存在新增、隐藏用户、克隆用户

      1、打开cmd窗口输入 lusrmgr.msc命令，会弹出一 本地用户或组的管理器，查看                   用户和组中是否有新增的账号 ，如有，立即删除掉。如下图

隐藏用户和克隆用户查看方式，如下：

     使用D盾_web查杀工具，里面有个克隆账号检测功能，非常好用。

3、通过日志，查看所有用户登录是否存在异常。（4624：登录成功）

      cmd中输入eventvwr.msc，弹出事件查看器，可手工进行分析，如下图。

也可导出 Windows 日志中所有的安全事件，使用工具 Log Parser 查看是否有异常的事件

以下命令：查看账号登录成功的情况(可以看到有哪些账号成功登录，如发现不是管理人员创建的登录成功了，请立即删除改用户）

2、端口、进程

1、检查异常端口

   cmd中输入netstat命令查看网络连接， 查看已经建立的连接    （ESTABLISHED）

    netstat查出来的可疑连接的 PID，通过 tasklist 命令进行进程定位 ，可以查看到文件名称

查看windows服务所对应的端口（有利于排查可疑进程）

2、检查异常进程

1、命令： tasklist 

cmd中输入msinfo32弹出系统信息，里面也有进程详细信息

2、图形化

鼠标右键任务栏-->找到任务管理器-->左键单击打卡即可

3、工具（例如：D盾_web查杀工具）

没有签名的要特别关注

查看可疑进程时候应该特别关注如：

4、启动项、计划任务、服务

1、检查主机是否有异常的启动项。

在cmd中输入 msconfig，来到系统配置点击启动，来到任务管理器查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。

win+r，输入 regedit，打开注册表，查看开机启动项是否正常，注意如下三个注册表项：

检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。

利用杀毒软件查看启动项、开机时间管理等。（火绒、360、电脑管家）

运行 gpedit.msc打开组策略，在里面可疑看到是否有启动的脚本，如果不是自己人编写的请立即删除。

2、检查计划任务

    控制面板中打开任务计划，查看计划任务属性，便可以发现木马文件的路径。

cmd中输入 at（有些是输入schtasks.exe），查看计算机与网络上的其它计算机之间的会话或计划任务是否可疑。

3、服务自启动

cmd中输入 services.msc，查看是否存在异常服务

5、系统相关信息

1、查看主机系统的相关信息

cmd中输入 systeminfo，查看系统信息。

2、查找可疑目录及文件

默认用户目录，新用户会在这个目录生成一个用户目录，如果是可疑的目录请检查用户删除该用户，命令如下：

我的用户目录文件如下：

分析最近打开分析可疑文件

单击win+R，输入如下命令进行查看

在主机的敏感目录，文件夹内点击修改日期进行排序，查看最近是否有新增可疑文件。

回收站内、浏览器下载目录、浏览器历史记录是否有可疑文件

查找某文件修改时间在创建时间之前的为可疑文件

属性里-->常规处有创建文件日期，与修改日期进行对比，如下图所示

3、找出相同内创建的木马

利用计算机自带文件搜索功能，指定修改时间进行搜索。

使用软件everything进行搜索查看

6、日志分析

系统日志

在事件查看器查看器中进行分析，或者导出应用程序日志、安全日志、系统日志，利用 Log Parser进行分析。

Web日志

将web的访问日志进行打包下载，使用日志分析工具进行分析异常

Windows日志分析工具： EmEdito。Linux 日志分析工具： Shell 命令组合查询分析

7、结尾

和师傅们一起成长，努力学习网络安全知识。