首先第一个是定位出可疑的连接的PID,然后再从pid再定位出可疑的进程。然后再从进程到它的全路径,知道这个路径之后,确定是可以的话,就把它删除,利用 q把它删除掉,这两条命令都可以杀死这个进程。然后我做一个演示,为什么要这样,因为有一些后门和木马的话是很难找删掉的,就是你直接关闭是关不掉的,需要利用命令或者是权限高一点才能关掉.
所以我首先是做个木马拿出来,我在虚拟机里面来做演示,然后用netstat的amo这个命令查看有没有可疑的可疑的建立链接的,Ouch。查找的意思,建立链接有这么多,然后后面都是80 443端口,这些都是访问web的,这些都是比较安全的,因为访问 80,这些都是比较安全的,然后这里发现有一个他跟7001这个端口连接了,这个端口的话,一般都是比较可疑的。
然后我们就可以看一下这个5516这个pid,从管道筛选出来,5516这个pid是哪个进程的,发现了是a进程的。这个进程怎么这么奇怪,a,而且它连接的是外面的一个7001端口,所以我就查一下它到底是在哪里。用用刚才的查找命令看看a的路径,再D盘下面,然后我们可以去直接去的。在这里 a,然后我们把它删掉,删不掉。因为它正在运行当中,我们是删不掉的,然后我我们要先把它关闭,下面也找不到他在哪里执行,只能在这个cmd命令行下面把它删掉,我们直接这里这里删是删不掉的,那因为他在执行当中,然后先把它这个进程杀死,5516 pid -f是强制把他杀死的意思。已经成功终止掉这个进程了。
然后我们再netstat -an看一下,看一下他还在不在,已经没有了,这个有5516还在。可能是杀死他了之后,他还他又建立了新连接了。再杀一次。PID5516。没有,可能是已经删掉了,但是它显示还是缓存还在,但是已经删掉了,已经关闭这个进程了。然后我们现在把它杀,把刚才那个木马删掉,发现已经删除掉了。