首先要防止對(duì)方通過現(xiàn)有的系統(tǒng)環(huán)境再次登錄，條件允許的情況下最好將WEB， FTP ，MAIL ，SQL等服務(wù)事先關(guān)閉等檢查需要時(shí)再開啟（極端的情況下可以直接用IP策略封掉除自己以外所有的雙向網(wǎng)絡(luò)連接）

       同時(shí)要保證當(dāng)前系統(tǒng)環(huán)境的穩(wěn)定正常，對(duì)文件的操作建議使用everyone拒絕的形式而不是直接刪除。

1. 檢查系統(tǒng)賬號(hào)

通過本地用戶和組(lusrmgr.msc)查看否存在多個(gè)管理員或克隆用戶。多余的管理員修改密碼后全部禁止，克隆帳號(hào)會(huì)繼承原用戶的數(shù)據(jù)，比如帳號(hào)說明之類的很好區(qū)分。打開regedt32 給HKEY_LOCAL_MACHINESAMSAM加上administrators全權(quán)(一般黑客已經(jīng)幫你完成了這步)就能看到SAM項(xiàng)下的內(nèi)容。 HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames下可以看到用戶的列表，默認(rèn)的二進(jìn)制鍵值記錄的是帳號(hào)對(duì)應(yīng)的UID，例如0x1f4。UID列表對(duì)應(yīng)于HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers 這里是帳號(hào)的權(quán)限信息，例如0x1f4對(duì)應(yīng)000001F4項(xiàng)。找到克隆帳號(hào)修改掉他的UID將其刪除，還原注冊表權(quán)限。

2. 檢查進(jìn)程

可以通過第三方工具冰刃(iecsword)進(jìn)行進(jìn)程檢查。發(fā)現(xiàn)可疑的進(jìn)程全部關(guān)閉(system32svchost.exe,lsass.exe,winlogon.exe,csrss.exe為關(guān)鍵的系統(tǒng)進(jìn)程，確認(rèn)進(jìn)程文件路徑的情況下不要去關(guān)閉。) 。如是冰刃中提示存在但進(jìn)程管理器中無法看到的，在該進(jìn)程的“模塊信息中“找出該程序是插入到哪個(gè)進(jìn)程中的并將其“強(qiáng)制解除“(有可能會(huì)系統(tǒng)自動(dòng)重啟，如插入的是系統(tǒng)的關(guān)鍵進(jìn)程，需事先EVERYONE拒絕掉該進(jìn)程文件后再強(qiáng)制解除，DLL文件反注冊后再執(zhí)行之前的操作)。

3. 檢查系統(tǒng)環(huán)境

C:Documents and SettingsAllUsersDocuments

C:Documents and SettingsAllUsersApplication Data

C:wmpubwmiislog

下是否有可疑程序。

C:Documents and Settings下是否有其他用戶的目錄。如果存在則進(jìn)入該用戶目錄搜索*.exe *.com *.bat可能會(huì)找到一些登錄后用過的工具以便分析入侵過程。

C:Documents and SettingsxxxxxLocalSettings目錄下能找到該用戶一些訪問的緩存記錄也有助于分析。

檢查當(dāng)前端口使用狀態(tài)，被動(dòng)模式的木馬會(huì)監(jiān)聽端口來等待連接。可以通過netstat -anb |more  來獲取當(dāng)前端口的使用狀態(tài)和對(duì)應(yīng)的程序名(只用于03系統(tǒng))。

windows目錄和system32目錄右擊→文件查看→詳細(xì)信息→按日期排列后找出最近建立的exe和dll文件對(duì)其進(jìn)行排查。

檢查殺毒軟件的日志記錄，一般通過WEB進(jìn)行提權(quán)的，獲得上傳權(quán)限后會(huì)通過某個(gè)站點(diǎn)上傳WEB木馬這時(shí)候往往可以從殺毒軟件的日志中發(fā)現(xiàn)一些記錄。入侵后上傳的程序很有可能被當(dāng)做病毒清除。通過日志可以獲得木馬路徑以及木馬程序名稱。

檢查cmd.exe net.exe net1.exe cacls.exe regedit.exe regedt32.exe程序的權(quán)限是否有被修改。

檢查系統(tǒng)啟動(dòng)組(msconfig)以及組策略(gpedit.msc)。組策略中的管理模版→系統(tǒng)→登錄要注意。

4. 檢查服務(wù)程序

檢查SERV-U用戶是否有系統(tǒng)管理員權(quán)限。搜索SERV-U配置文件ServUDaemon.ini 關(guān)鍵字為“system”。如發(fā)現(xiàn)Maintenance=System則此用戶的權(quán)限存在問題，更換SERV-U除兩個(gè).ini外的全部文件以防止捆綁，完成后給SERV-U加上管理密碼。

檢查SQL SERVER是否有system Administrators角色的用戶，是否有用戶擁有多個(gè)庫的訪問權(quán)限。

MYSQL備份好MYSQL庫檢查USER表。表中每行代表一個(gè)用戶的權(quán)限，發(fā)現(xiàn)與ROOT內(nèi)容相同的行一律刪除。

5. 檢查完成后的處理

修復(fù)和更新可能受損的殺毒軟件，重新配置安全環(huán)境。