这几天看到不少关于黑客攻击服务器，盗取数据、勒索之类的新闻，盾叔只能痛心疾首的多次告诫大家，现在网络安全很重要，这就是网安版的书到用时方恨少。

那么多企业和个人都在用血淋淋的教训告诉我们网络安全的重要性！

不过今天不跟你们说什么网络安全重要啊什么什么的，我嘴都干了，今天我们来说说，被黑客攻击后，，我们最需要做的事情——溯源。

为什么要溯源，通过溯源我们可以更好的了解到攻击者的攻击路径和攻击方法，可以更好的做到系统修复，如果你能力够强，说不定还能通过溯源对攻击者进行反制！

说的通俗点就是，被人打了，总得知道别人怎么打的我、用什么打的我，另外我是不是可以找个机会偷偷的打回来...

好了，话不多说，发车啦！

一、用户

（1）查看当前登录用户

query user

（2）查看系统中所有用户

net user

开始-运行-lusrmgr.msc

查看C:\Users目录排查是否新建用户目录，如果存在则排查对应用户的download和desktop目录是否有可疑文件。

（3）查看是否存在隐藏账号，克隆账号

开始-运行-regedit
查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users中是否有异常。

二、启动项

（1）注册表查看启动项

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

（2）命令行查看启动项

wmic startup list full

（3）组策略中查看启动

运行-gpedit.msc

三、Recent目录

此目录可以看到程序或文件最后被打开和使用的日期时间。

C:\Users\Administrator\Recent

四、windows日志

（1）安全日志

计算机-管理-事件查看器-windows日志-安全(或eventvwr.msc)

根据时间排查安全日志里的登录事件，用户创建等事件情况

着重寻找登录事件(ID4624)且登录类型为3和10等远程登录方式

windows安全日志文件：

C:\Windows\System32\winevt\Logs\Security.evtx 查看其大小是否为20M左右，若远远小于20M则有可能被清理过。

（2）系统日志

计算机-管理-事件查看器-windows日志-系统

查看恶意进程的运行状态时间等

五、排查可以进程

（1）查看可疑网络连接

netstat -b -n

（2）根据网络连接寻找pid

netstat -ano | findstr xxx

（3）根据pid寻找进程

tasklist | findstr xxx

（4）杀死可疑进程

taskkill /T /F /PID xxxx

六、排查计划任务

schtasks /query /fo table /v

运行-taskschd.msc

七、排查系统服务

运行-service.msc

以上的这些项就是在遭到黑客的入侵和攻击后，我们对系统的必要排查范围，当然，并不是说只需要排查这些地方没问题就万事大吉了，除了上面这些内容，其它的内容，我就留给在做的各位大佬补全吧，诶，我知道，但我就是不写，就是玩儿。