Windows环境黑客入侵应急与排查.docxVIP

Windows 环境黑客入侵应急与排查 1 文件分析 1.1 临时目录排查 黑客往往可能将病毒放在临时目录（  tmp/temp  ），或者将病毒相关文件释放到临时目 录，因此需要检查临时目录是否存在异常文件。 假设系统盘在 C 盘，则通常情况下的临时目录如下：C:\Users\[ 用户名 ]\Local Settings\Temp C:\Documents and Settings\[ 用户名 ]\Local Settings\Temp C:\Users\[ 用户名 桌面 C:\Documents and Settings\[  用户名 桌面 C:\Users\[