作为学习者我仅将所学知识进行系统梳理和总结。如有任何疏漏或错误敬请指正进程、服务、启动项、计划任务的定义进程操作系统中程序的一次执行实例是资源分配和调度的基本单位。服务在后台运行的程序通常以系统权限启动无用户界面。启动项Windows系统在开机或用户登录时自动运行的程序或服务。计划任务Windows系统用于定时执行特定任务的功能如数据备份、软件更新等。Windows系统自带的排查方式进程排查任务管理器CtrlShiftEsc查看运行进程重点关注占用CPU/内存异常的进程进程路径异常如临时目录C:\Windows\TempMsinfo32工具WinR输入msinfo32 软件环境 正在运行任务查看进程完整路径和启动命令。服务排查图形化方式WinR输入services.msc查看服务列表重点关注状态为“运行中”但未知的服务启动类型为“自动”且无明确厂商信息的服务命令行方式执行net start命令查看所有运行中的服务。启动项排查任务管理器CtrlShiftEsc切换到「启动」选项卡禁用陌生启动项。文件路径检查用户级C:\Users\[用户名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup系统级C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup注册表检查用户级HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run系统级HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run计划任务排查图形化方式WinR输入taskschd.msc展开「任务计划程序库」查看未知来源的任务触发条件为“开机”或“定时执行”的可疑任务命令行方式执行schtasks /query查看所有计划任务。Windows系统日志分析Windows日志记录硬件、软件及系统事件可通过以下方式查看日志类型应用程序日志软件运行状态路径计算机管理 事件查看器 Windows日志 应用程序安全日志账户登录、权限变更等路径计算机管理 事件查看器 Windows日志 安全系统日志系统错误、服务启停路径计算机管理 事件查看器 Windows日志 系统关键事件ID4625账户登录失败检测暴力破解4624账户登录成功排查异常登录4720创建用户账户检测隐藏用户4732用户添加到管理员组检测权限提升4688新进程创建排查可疑进程木马防护措施网络层修改默认端口如RDP 3389改为非默认端口配置IP白名单仅允许授权设备访问防火墙拦截危险端口如139/445/3389账户层设置强密码长度≥12位含大小写字母、数字、特殊符号启用账户锁定策略如5次错误锁定30分钟禁用默认来宾账户定期排查隐藏用户系统层定期通过Windows Update安装安全补丁禁用危险协议如SMBv1和不必要的服务启用审核策略记录关键安全事件登录、权限变更终端层启用Windows Defender并保持更新安装第三方杀毒软件如火绒避免打开陌生附件或点击可疑链接