1. 检查系统账号

(1) 检查远程管理端口是否对公网开放，服务器是否存在弱口令。

检查方法：

检查防火墙映射规则，获取服务器账号登录，也可根据实际情况咨询相关管理员。

(2)查看服务器是否存在可疑账号或新增账号。

检查方法：

打开cmd窗口，输入lusrmgr.msc命令，查看是否有新增或可疑账号，如果管理员群组的(Administrators)里有新增账户，请立即删除。

(3)查看服务器是否存在隐藏账号。

检查方法：

运行CMD命令使用net use，看不到test$这个账号，但在控制面板和本地用户是可以显示此用户的。

(4)Windows日志

检查方法：

按Win+R，输入eventvwr.msc，打开事件查看器查看管理员登录时间、用户名、账号登录情况，比如成功或失败的次数，是否存在异常。

2. 检查异常端口

(1)检查端口连接情况

检查方法：

a. netstat -ano 查看目前的网络连接，重点是查ESTABLISHED可疑端口。

b. 再通过tasklist命令进行进程定位tasklist | findstr “PID”

(2)检查可疑的网络连接

检查方法

检查是否存在可疑的网络连接，如发现异常，可使用Wireshark网络抓包辅助分析。

3. 检查异常进程

检查是否存在可疑的进程

检查方法：

Win+R输入msinfo32，点击软件环境中的正在运行任务就可以查看到进程的详细信息，比如进程路径、文件日期、启动时间等。

4. 检查启动项

(1)检查异常的启动项

检查方法：

a.登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录是一个空目录，确认是否有程序在该目录下。

b.Win+R，输入msconfig，查看是否存在异常的启动项目，如有请删除。

C. Win+R，输入regedit，打开注册表查看开机启动项是否正常

特别注意以下三个注册表项：

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

检查右侧是否有启动异常的项目，如有请删除，并建议使用杀毒软件进行病毒查杀和清除。

5.检查计划任务

(1)检查是否有可疑的脚本执行

检查方法：

a.单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现有可疑文件的路径。

b. Win+R，输入cmd，然后输入schtasks.exe，本地或远程电脑上创建、删除、查询、更改、运行和结束计划任务，如有请确认是否为正常连接。

6. 检查服务

(1)检查系统服务名称、描述和路径，是否存在异常

检查方法：

Win+R，输入services.msc，检查是否有异常服务。

7. 检查可疑文件

(1)检查新建文件、最近访问文件和相关下载目录

检查方法：

a.查看用户目录，是否有新建用户目录。

b. Win+R，输入%UserProfile%\Recent，分析最近打开是否有可疑文件。

c.查找可疑文件服务器各个目录。

d.回收站、浏览器下载目录、浏览器历史记录等。

e.查看文件的修改时间或创建时间。