痛点：

 windows服务器被恶意入侵出现遭受挖矿，在没有专业的安全溯源反制的工具如何排查系统异常文件精准找出异常程序呢？

目录

 痛点：

 windows服务器被恶意入侵出现遭受挖矿，在没有专业的安全溯源反制的工具如何排查系统异常文件精准找出异常程序呢？

文件痕迹排查

1、使用开源火绒、后门工具、D_盾_web查杀工具、360进行全局查杀搜寻异常文件程序。

在应急响应中，由于大部分文件的恶意软件，木马，后门都会在文件维度上留下痕迹，人过留名，雁过留声，因此对文件痕迹的排查必不可少，可以从以下方面进行入手排查

1、C:\\Temp 系统盘的temp文件

2、部分文件被隐藏了，勾选显示隐藏文件

3、命令执行 Dos执行，查看近期新增文件，缩小排查范围

forfiles /m *.exe /d +2022/8/1 /s /p c:\\ /c "cmd /c echo @path @fdate @ ftime"

4、查看启动项

C:\\Users\\Administrator>msconfig

  查看是否存在命令异常的启动项目，是则取消勾选命名异常的启动项目，

打开注册表regedit 查看开机启动项是否正常

C:\\Users\\test>regedit打开注册表，查看开机启动项是否正常。特别注意如下三个注册表项:
HKEY_CURRENT_USER\\software\\micorsoft\\windows\\currentversion\\run 
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Runonce
检查右侧是否有异常的启动项。如果存在，则删除，并使用杀毒工具进行查杀清除。

查看windows进程

 端口排查

netstat-ano

tasklist |findstr pid

杀死进程等操作