一、Windows入侵排查

1、账户安全

一般电脑默认用户有四个

（1）Administrator(管理员用户)        DefaultAcount

        Guest(访客)                        WDAGUtilityAcount账户

（2）除了这些明文账户还有一些（隐藏用户和影子用户）

查看隐藏用户可打开Win+R  输入cmd

 命令行下输入（以$结尾的就是隐藏用户）

net localgroup administratros 

二、异常端口排查

Win+R  输入cmd

命令行下输入

netstat -ano

注意：检测连接情况是否有远程连接

本地地址

0.0.0.0:25  
解释：我开了25端口，所有人都能连接我

127.0.0.1:441  
解释：我开了441端口，只有我自己能连自己，别人连不了

三、进程信息排查

打开任务管理器

（1）查看没有签名信息的进程

（2）没有进程的信息

（3）路径是否合法

（4）CPU占有率较高的

这些都是可疑进程。

 三、启动项排查

打开注册表Win+R  输入 regedit

路径为下方：

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run

说明：一些恶意程序可能会偷偷运行，在这就可以查看有没有哪些可疑程序运行。

四、镜像劫持

 打开注册表Win+R  输入 regedit

hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options 

这个目录下如果出现名称为dabugger的，程序就会先允许此程序运行。镜像劫持简单来说就是重定向路径，把原先要执行的文件变成攻击者想要执行的文件。 

五、异常服务

打开   任务管理器--->服务 

这个自己需要一个一个逐一排查，哪个可疑就查哪个。

看都看完了，可否赏个赞赞，谢谢官老爷们。