现在是windows的后门排查，分为五部分来讲，第一个是文件排查，还有进程排查，还有系统的信息排查，还有windows的日志排查，还有工具排查，然后从文件排查开始，开机启动，看有没有异常的文件。然后我们在任务管理器中可以看到驱动的程序，然后做个案例，管理器里面有个启动。对。然后我们可以从这启动这里分析有没有可疑的进程，已经入侵到了启动这里。然后看到像这些桌面助手，这些都是挺正常的。

然后很明显有一个脚本，离奇的脚本是比较可疑的，然后我们就把它禁用掉，之前我已经禁用掉了，要打开的文件，那它存在这个路径下面，启动的，路径下面，然后接下来是文件排查的敏感文件路径的排查，在这些路径下面都是比较敏感的路径，可以用工具把这些路径扫一遍或者是手动的来看。

接着是每个盘下面的临时文件看有没有异常文件，例如这里是windows产生的临时文件，还有一个就是比较实用的是快速访问，里面存放的是文件的快捷方式，还有通过最近最近打开的一些文件，例如就是一台电脑刚刚被黑客攻击过的话，我们可以通过快速访问来看一下黑客最近他访问了哪里，做了什么，我做个演示，这里这里有个快速访问，然后点它的时候会看到下面有最近使用过的文件，最近我用的一些文件跟文档，它都会在这里显示出来。

然后还有一个可以根据文件夹内文件列表时间的进行排序，查找可疑的文件，也可以搜索指定的日期，搜索它的日期，根据日期来搜索可疑的文件，还有就是我们可以查看文件的时间、创建时间、修改时间和访问时间。有一些黑客的工具的话，例如菜刀类的工具，改变的话，它改变里面只是改变的是修改时间。如果我们看到里面的修改时间，在创建时间之前的话，很明显这个就是可疑的文件，看这里修改时间是2017年，然后创建时间是2018年。

第二部分是进程的排查，对于进程排查的话有很重要的一个命令，就是netstat。这个命令natstat这个是查看目前网络连接的状态的一个命令，是比较重要的一个命令。它加了-a是显示所有网络连接路由表，还有网络接口，是以数字形式显示地址和端口号，加o是显示于每个进程的ID，我们一般就会加amo这三个加起来就是一般的使用方法。

还有接下来一条命令就是从他的进程名定位到这个进程的全路径。就是我们刚才已经可疑的外部链接，然后定位到一个PID然后再从pid定位到是哪个进程，现在就从哪个进程定位到它这个进程是在哪里来的，它的路径在哪里，就用这条命令，例如我想定位这条，还是以刚才那个为例子，刚才这里我想定位一下它这个进程它到底在哪里，数据然后管道查找这个进程svchost的进程它到底在哪，然后他出来的信息有点多，查找他，然后他的路径在这里，这个进程有的问题就像这个图片所说的，你看用这个查找的话，它就会显示出它的全路径出来。

然后还有一个办法，我们就是在任务管理器里面右击打开文件，然后定位到它的它的全路径，这里进程，然后右击，然后我们打开所在的文件，然后就可以定位它到底在哪里了。还有一些启动项的枚举和计划任务的枚举，现在还到了案例演示了，我们这个案例就是从刚才的几条命令开始说起。这个命令来筛选出所有已经建立连接的网络连接，定位出哪个是可疑的IP，可疑的PID，然后定位它出来这个 Pid之后，我们就可以利用这个命令来查找这个PID的进程。