Windows入侵排查

1.1检查系统账号安全
1.检查服务器是否存在可以账号、新增账号：
打开cmd，输入lusrmgr.msc

如果有立即禁用或删除掉
2.检查服务器是否存在隐藏账号、克隆账号：
检查方法： a、打开注册表 ，查看管理员对应键值。 b、使用D盾_web查杀工具，集成了对克隆账号检测的功能。

3. 结合日志，查看管理员登录时间、用户名是否存在异常：
win+r输入eventvwr.msc，回车打开事件查看器

 1.2检查异常端口、进程
1.检查端口连接情况，是否有远程连接、可疑连接。
打开cmd输入命令：netstat -ano

再通过tasklist命令进程定位tasklist | findstr "PID'

2.进程
win+r输入msinfo32打开系统信息，查看进程详细信息，比如：进程路径、进程ID、文件创建日期、启动时间等。

 3.小技巧：
a、查看端口对应的PID： netstat -ano | findstr “port”
b、查看进程对应的PID：任务管理器--查看--选择列--P

Windows入侵排查最先出现在Python成神之路。