Windows环境黑客入侵应急与排查

1 文件分析

1.1 临时目录排查

黑客往往可能将病毒放在临时目录（tmp/temp），或者将病毒相关文件释放到临时目录，因此需要检查临时目录是否存在异常文件。

假设系统盘在C盘，则通常情况下的临时目录如下：

C:\Users\[用户名]\Local Settings\Temp

C:\Documents and Settings\[用户名]\Local Settings\Temp

C:\Users\[用户名]\桌面

C:\Documents and Settings\[用户名]\桌面

C:\Users\[用户名]\Local Settings\Temporary Internet Files

C:\Documents and Settings\[用户名]\Local Settings\Temporary Internet Files

注：[用户名] 根据实际环境用户得出，常见用户名是Administrator，建议所有用户都检查一下。

1.2 浏览器相关文件

黑客可能通过浏览器下载恶意文件，或者盗取用户信息，因此需要检查下浏览器的历史访问记录、文件下载记录、cookie信息，对应相关文件目录如下：

C:\Users\[用户名]\Cookies

C:\Documents and Settings\[用户名]\Cookies

C:\Users\[用户名]\Local Settings\History

C:\Documents and Settings\[用户名]\Local Settings\History

C:\Users\[用户名]\Local Settings\Temporary Internet Files

C:\Documents and Settings\[用户名]\Local Settings\Temporary Internet Files

1.3 最近打开文件

检查下最近打开了哪些文件，可疑文件有可能就在最近打开的文件中，打开以下这