方案二：DOS系统命令排查

本章节介绍如何通过DOS系统命令进程排查。

常用命令

命令	作用
cd	切换目录。当前目录：【./】(同级目录)可省略上一级目录：【../】上上一级目录：【../../】
dir /a:（磁盘）	缺省包含所有文件（系统文件.隐含文件）
more	分屏显示文件内容
tasklist	查看进程
netstat -ano	查看链接
wmic startup list full	查看自启
net user	查看用户
示例：查找D:\Apps\下，包含“DR”的文件： dir /a-d /s "D:\Apps\IDE" \| findstr "DR" 查找C盘下，包含“exe”的文件和目录：dir /s C: \| findstr "exe"

操作步骤

查看是否存在异常进程。

查询命令：tasklist

根据查询结果排除系统进程或业务应用进程，锁定异常进程。
查看网络分析，是否存在异常的IP链接主机。

查询命令：netstat –ano
1. 根据查询结果排除业务连接端口或业务外部地址连接，锁定可疑地址。
2. 使用微步在线确认可疑地址是否属于恶意或非正常业务的海外地址。
3. 通过异常连接的“PID”,通过值（如2240）在步骤 1的查询结果找到进程（如vchost.exe）。
检查是否存在异常用户。
1. 命令：net user，查询用户信息。
2. 查询命令：net user +用户名（如administrator），查询用户更改主机密码的时间。
3. 查询命令：systeminfo，查询是否存在重启。
  主机重启会自动清理数据，无法分析用户数据，需查询重要文件目录，请参见步骤 4。
检查文件分析，是否存异常文件。

查询命令：dir /s + 文件目录（如C:）+ | findstr "exe"

查询磁盘中（如C盘)下，"exe"的文件和目录，根据查询结果排除系统文件或应用创建文件，锁定异常文件。

建议重点排查以下目录：“windows”、“windows\system32”、“windows/system32 \drivers”、“c:\program files\internet explorer/”、“c:\program files\internet explorer\plugin”、“c:\program files\common files\miscrosoft shared”-临时文件夹。
查看windows主机登录日志（登录成功事件ID：4624），排查主机是否存在异常登录情况。
1. 打开“计算机管理”，选择“系统工具 > 事件查看器 > Windows 日志 > 安全”，单击右侧“筛选当前日志”。
2. 填写“包括/排除事件 ID”：4624。
  图1 筛选当前日志
3. 查询结果如图查询结果所示
   图2 查询结果
如果上述方法均不能解决您的疑问，请“提交工单”寻求更多帮助。