1.排查隐藏账号
查看注册表
找到攻击者用户目录文件
排查用户异常
eventvwr.msc
分析用户登录日志
排查可疑端口
排查可疑进程
检查启动项、计划任务和服务
查看系统补丁信息
安装火绒,在安全工具里有火绒剑
计划任务
使用D盾对主机进行检测,发现隐藏账户
使用D盾进行端口查看
文件监控
Web shell查杀
查询特权用户
查找远程登录用户
检查sudo权限
统计系统登录失败的账号
查看当前登录系统的用户信息
抓包分析
检查异常端口
查看登录成功的信息
查看可疑进程
查看系统资源
检查开机启动项
登录失败的用户信息
