1 準備工作

檢查人員應該可以物理接觸可疑的系統。因為黑客可能偵測到你可以在檢查系統，例如網路監聽，所以物理接觸會比遠端控制更好。

為了當做法庭證據可能需要將硬碟做實體備份。如果需要，斷開所有與可疑機器的網路連線。

做入侵檢查時，檢查人員需要一臺PC對檢查的過程進行檢查專案的結果記錄。

請維護可疑伺服器人員或者PC使用人員來配合，來確定機器上執行的服務和安裝的軟體，便於安全檢查人員提交檢查的效率和準確性。

2 基本檢查點

檢測不正常賬戶

查詢被新增的賬號，特別是管理員群組的（Administrators group）裡的新增賬戶。

C:\lusrmgr.msc

C:\>net localgroup administrators

C:\>net localgroup administrateurs

查詢隱藏的檔案

在系統資料夾裡檢視最近新建的檔案，比如C:\Windows\system32.

C:\>dir /S /A:H

檢查登錄檔啟動項

在Windoows 登錄檔裡檢視開機啟動項是否正常，特別一下注冊表項：

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce

HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx

檢查不正常的服務

    檢查所有執行的服務，是否存在偽裝系統服務和未知服務，檢視可執行檔案的路徑。

檢查賬戶啟動資料夾

    例如：Windows Server 2008

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup

檢視正在連線的會話

C:\net use

檢查計算機與網路上的其它計算機之間的會話

C:\net session

檢查Netbios連線

C:\nbtstat –S

檢查系統不正常網路連線

C:\netstat –nao 5

檢查自動化任務

     檢查計劃任務清單中未知的計劃

     C:\at

檢查windows日誌中的異常

檢查防火牆、防毒軟體的事件，或任何可疑的記錄。

檢查大量的登入嘗試錯誤或是被封鎖的賬戶。
www伺服器匯入Web訪問日誌，並檢視分析Web訪問日誌是否完整有攻擊痕                             跡。

檢查www目錄是否存在webshell網頁木馬，重點檢查類似upload目錄。

3.檢查木馬和後門

關於檢查高階的木馬和後門應依次檢查這幾項：啟動項、程序、模組、核心、服務函式、聯網情。使用工具更進一步檢查隱藏木馬和後門程式，可以使用PChunter

開啟介面點選程序，我先對程序進行排查，隨便選中一個程序右鍵選單點選校驗所有數字簽名，pchunter會以不同的顏色來顯示不同的程序種類。

數字簽名是微軟的程序：黑色

數字簽名非微軟的程序：藍色

微軟的程序,如果有些模組是非微軟的：土黃色

沒有簽名的模組：粉紅色

可疑程序，隱藏服務、被掛鉤函式：紅色

重點對數字簽名不是微軟的程序和驅動排查，尤其是無簽名斌並隱藏服務、被掛鉤的函式的程序和驅動，如：

對此驅動檔案比較懷疑，可以右鍵點選pchunter線上分析上傳到virscan掃描一下。

結果

4 檢測注意項

如果這臺機器業務很重要不能被切斷網路連線，要備份所有重要的資料避免黑客注意到正在檢測而刪除檔案。

如果這臺機器業務不是很重要建議切斷網路連線做物理隔離，將整個硬碟進行外接儲存複製映象。可以使用EnCase或者dd等。

嘗試找出黑客活動的證據：

l  找到攻擊者使用過的檔案，包含被刪除的檔案（使用取證工具）檢視這些檔案做了什麼，瞭解它的功能。

l  檢查最近被存取的所有檔案。

l  查詢是否有遠端控制或後門之類的傳播。

l  嘗試找出攻擊者如何進入系統。所以可能都要考慮到。

l  修復攻擊者利用的漏洞。

5.修復

不論攻擊者入侵系統到什麼程度以及安全檢測人員檢查的收攻擊的瞭解，只要系統被滲透過，最好的方法就是用原始工具重新安裝系統。然後在新系統上安裝所有的補丁，www伺服器按照安全標準配置目錄許可權和配置檔案。

改變所有系統賬號的密碼

檢查恢復那些已經被攻擊者篡改的檔案。