本文讲的是windows的第三部分，系统信息排查，系统信息排查我们首先要看的就是查看环境变量的设置，看一下我们的环境变量有没有被添加到可疑的一些路径，它是怎么打开的，是在我的电脑属性，高级系统高级，还有环境变量里面，我现在演示一下我的电脑，然后属性高级，然后环境变量，然后说然后在这在这里面，像这个就是Java的环境面量，还有他的一些这些看有没有可疑的路径和一些可疑的进程在里面。

接着就是windows的计划任务，看一下有没有可疑的一些计划任务，打开也是在控制面板的系统安全，还有任务计划，这里或者是指定哪的管理，一般我都是在这里电脑，然后管理，然后这里有一个任务计划，然后就打开这些就是任务计划，他在什么时候做什么，还有就是windows的账号信息，查看是不是有可疑的账号。

例如有一些隐藏账号是黑客，经常是他自己入侵了之后，他自己会创建一个账号，还把它隐藏起来，怎么看？命令net user这条命令是查看本机的用户，像我这里本机的用户有这么多，这个就是我的4个都是默认的，然后看起来又不是默认的，又不是你的，就是很可疑了，这个看起来陌生，像这样去排除。

还有一种方法是直接在我的电脑管理这里来查看本地用户和组，看一下有哪些用户，看这些用户，然后这里有一个admin，然后后面加一个$符号的就是隐藏用户，然后我们是在命令行下面是看不到的，你看没有的话，像这种隐藏的话，一般都是黑客把它隐藏起来的，然后很明显了，然后我们怎么删掉它，第一种方法是把它这里右击，要删除，就可以删除掉了。

再看一下有没有？已经没有这个新鲜这个用户了。删除是这样那添加用户。添加用户。Net user然后假如我要添加一个新鲜，然后密码是12345,然后删除是del，然后添加是add。直接然后我们再看一下，现在这里就有了。还有一个就是可以查看当前系统用户的会话使用的命令就是这一条，查看当前系统的会话，比如是不是有人使用远程终端登录你的服务器，我们就可以用这条会话到底有多少个会话在使用。

现在的用户只是会话名，会话ID只有一个，就是我现在使用的这个会话，如果有有其他人同时在会话使用会话的话，可能就有两三个这样的规划，时间是12:00，现在12:30 12:00开始的登录，然后如果是觉得这个会话很可疑，然后我们就把它提出 loof。