网络安全应急响应的问题，希望各位解答

你是某公司安全部门的一名安全工程师，某天运维部门的同事发现处在公司dmz区域的一台windows服务器运行缓慢，疑似被黑客攻击了，因为公司对安全建设投入的资金较少，所以没有soc，防火墙等安全设备，但是好在运维同事正在学习使用wireshark这个工具，在黑客攻击的时间段的流量被他用使用wireshark工具保存了，你需要帮助他排查一下问题，下面是运维同事比较关注的一些问题列表，请你帮忙解答，因为这台服务器中存放了比较敏感的数据，也防止你的操作对服务器进行二次污染，所以为你提供了一台操作机，pcap攻击流量已经放置在这台操作机的桌面上了，文件名称为data.pcapng，当然你也可以直接登录这台被攻击的windows机器并排查问题，操作机中提供的工具如下： 1.桌面/notepad++.exe 2.桌面/Mozilla Firefox.exe 3.桌面/Wireshark.exe 4.桌面/d盾 5.桌面/whatinstartup.exe 6.桌面/procexp64.exe 运维同事对这台linux服务器记录的信息如下 1.服务器的ip为220.181.41.13 2.用户名和密码为administrator/com.1234 3.apache服务，监听80端口 4.mysql服务，监听3306端口 5.Web后台地址为http://220.181.41.13/manage123/ 6.Web的管理员用户名和密码为admin/admin123 问题：黑客的ip地址是什么？ 

• 这篇文章讲的很详细，请看：网络安全应急响应-常用工具

1、用procexp64检查一下是什么东西占用了资源
2、whatinstartup检查是否存在可疑软件
3、Wireshark分析第一步中资源异常时间点和第二步中可疑软件安装时间、下载时间点附近报文
4、Wireshark检查登录报文
5、检查各服务log中异常操作时间，分析报文