1.net user 查看当前有哪些用户

2.net localgroup administrators 查询administrators最高权限组有哪些用户

3.net user administrator 查询这个用户上次登录的日期

4.找出异常账号上次登录日期修改的时间，看攻击者释放了什么文件。

5.netstat -ano查看有哪些异常的进程及端口，然后找出异常的进程的PID号进行分析

6.tasklist|findstr PID号查询端口对应的异常进程程序

7.用任务管理器查找对应的进程所在的程序位置

8.查看是否有异常的服务

9.运行msconfig查询是否有异常的启动项

10.服务=》隐藏所有windows服务

11.启动项=>启动找出异常的启动项在注册表regedit上找出对应的删除即可

12.删除异常服务防住木马再次感染 sc delete 服务名称 services.msc查看服务或者net start

13.上述为大概了解入侵者在什么地方留下什么异常痕迹

14.netstat -ano 查询开放了哪些端口，在windows防火墙是否端口封禁

15.1.web层漏洞入侵的，系统漏洞入侵的，查看是否有可以的端口进行通信，查看web目录下是否有一句话木马等。

16.查看防火墙规则是否屏蔽了危险的端口

17.%systemroot%\system32\config 查看系统日志

18.eventvwr.msc 查看日志是否有入侵的迹象