Windows快速排查系統是否被黑

1.存在隱藏用戶或異常用戶

以Windows為例，右鍵計算機 -> 管理 -> 查看本地用戶和組，如果用戶或用戶組帶有$符號，說明該用戶/用戶組被隱藏，很有可能被黑了。如下截圖

2.異常進程

通過任務管理器查看是否存在異常進程，比如phpstudy被黑后可能存在12345.exe這類數字開頭的進程。或者一些temp臨時文件以管理員身份運行。

如果用戶安裝了phpstudy查看有某些數字進程

3.異常腳本或可執行文件

可以檢查Windows常見的幾個系統目錄，比如C:\Windows、C:\Windows\System32，大量異常腳本，或可執行文件。

4.異常進程占用CPU

注意進程描述，運行用戶是否使用了system/administrator權限較高的用戶。

Windows安全建議

1.修改默認遠程連接端口。

2.不使用弱密碼。

3.不安裝來歷不明的軟件（比如xx破解版、xx綠色版）。

4.安裝必要的殺毒軟件。

5.普通賬戶運行mysql、mssql；盡量避免system或管理員運行。

6.盡量關閉數據庫遠程。

7.通過官方update及時更新系統補丁。

總結

1.查看Windows用戶和組是否異常。

2.任務管理器查看是否有占用較高的進程、異常進程。

3.查看常見的目錄如C:\Windows是否有異常腳本或可執行文件。

4.檢查事件查看器是否有異常用戶/異常IP登錄。

5.windows進程中PID值0-999為系統進程。

6.進程名稱看起來是系統的，但是pid很高，這種進程就有可能是偽造有問題，需核實。常見進程名需掌握。