一、Windows

1.存在隱藏用戶或異常用戶

以Windows為例，右鍵計算機(jī) -> 管理 -> 查看本地用戶和組，如果用戶或用戶組帶有$符號，說明該用戶/用戶組被隱藏，很有可能被黑了。如下截圖

2.異常進(jìn)程

通過任務(wù)管理器查看是否存在異常進(jìn)程，比如phpstudy被黑后可能存在12345.exe這類數(shù)字開頭的進(jìn)程。或者一些temp臨時文件以管理員身份運(yùn)行

如果用戶安裝了phpstudy查看有某些數(shù)字進(jìn)程

3.異常腳本或可執(zhí)行文件

可以檢查Windows常見的幾個系統(tǒng)目錄，比如C:Windows、C:WindowsSystem32，大量異常腳本，或可執(zhí)行文件。

4.異常進(jìn)程占用CPU

注意進(jìn)程描述，運(yùn)行用戶是否使用了system/administrator權(quán)限較高的用戶。

Windows安全建議

修改默認(rèn)遠(yuǎn)程連接端口。

不使用弱密碼。

不安裝來歷不明的軟件（比如xx破解版、xx綠色版）。

安裝必要的殺毒軟件。

普通賬戶運(yùn)行mysql、mssql；盡量避免system或管理員運(yùn)行。

盡量關(guān)閉數(shù)據(jù)庫遠(yuǎn)程。

通過官方update及時更新系統(tǒng)補(bǔ)丁。

總結(jié)

查看Windows用戶和組是否異常。

任務(wù)管理器查看是否有占用較高的進(jìn)程、異常進(jìn)程。

查看常見的目錄如C:Windows是否有異常腳本或可執(zhí)行文件。

檢查事件查看器是否有異常用戶/異常IP登錄。

windows進(jìn)程中PID值0-999為系統(tǒng)進(jìn)程。