1.排查隐藏账号

查看注册表

找到攻击者用户目录文件

排查用户异常

eventvwr.msc

分析用户登录日志

排查可疑端口

排查可疑进程

检查启动项、计划任务和服务

查看系统补丁信息

安装火绒，在安全工具里有火绒剑

计划任务

使用D盾对主机进行检测，发现隐藏账户

使用D盾进行端口查看

文件监控

Web shell查杀

查询特权用户

查找远程登录用户

检查sudo权限

统计系统登录失败的账号

查看当前登录系统的用户信息

抓包分析

检查异常端口

查看登录成功的信息

查看可疑进程

查看系统资源

检查开机启动项

登录失败的用户信息