@爆米花
3年前 提问
2个回答

Windows 被入侵的排查思路

在下炳尚
3年前
官方采纳

1.检查账号安全

调取账号口令列表,检查弱口令账户
检查高权限组中是否存在越权账户

2.查看最近的系统登录情况

将事件查看器中的安全日志导出

3.检查端口与进程

用netstat命令查看网络端口信息

4.用第三方软件辅助排查

使用d盾,排查

5.检查系统启动项

打开本地组策略,域环境需要DC上的组策略

6.检查任务计划

查看所有任务计划

7.检查服务启动类型

在服务管理中查看启动类型

Andrew
3年前

1,检查可疑文件 使用软件对注册表进行排查 2,自动查杀 下载软件查杀 查毒杀毒:卡巴斯基,360杀毒,瑞星等 webshel查杀:D盾_ Web查杀,河马webshell查杀,深信服WebshelI网站后门检测工具等 在线检测平台微步在线