检查: 1.系统进程 2.计算机用户 3.系统登录日志 4.连接状态 5.开机自启动 6.数据库日志 7.网站木马和系统木马
检查:同上
流程: 1.保护现场 2.证据发现 3.证据固定 4.证据提取 5.证据分析 6.提交证据
工具:wireshark