1.存在隐藏用户或异常用户

　　以Windows为例，右键计算机->管理->查看本地用户和组，如果用户或用户组带有$符号，说明该用户/用户组被隐藏，很有可能被黑了。

如下截图

2.异常进程

　　通过任务管理器查看是否存在异常进程，比如phpstudy被黑后可能存在12345.exe这类数字开头的进程。或者一些temp临时文件以管

理员身份运行。

　　如果用户安装了phpstudy查看有某些数字进程。

3.异常脚本或可执行文件

　　可以检查Windows常见的几个系统目录，比如C:\Windows、C:\Windows\System32，大量异常脚本，或可执行文件。

4.异常进程占用CPU

　　注意进程描述，运行用户是否使用了system/administrator权限较高的用户。

Windows安全建议

　　修改默认远程连接端口

　　不使用弱密码

　　不安装来历不明的软件（比如xx破解版、xx绿色版）

　　安装必要的杀毒软件

　　普通账户运行mysql、mssql；尽量避免system或管理员运行

　　尽量关闭数据库远程

　　通过官方update及时更新系统补丁

总结

　　查看Windows用户和组是否异常

　　任务管理器查看是否有占用较高的进程、异常进程

　　查看常见的目录如C:\Windows是否有异常脚本或可执行文件

　　检查事件查看器是否有异常用户/异常IP登录

　　windows进程中PID值0-999为系统进程。