- shell通过进程注入方式,伪装到系统进程中,通过以下方式排查:找到可疑进程连接、定位进程名字、杀死进程、删除恶意服务
netstat -ano -p tcp | findstr "ESTABLISHED"
tasklist /svc | findstr "..*"
taskkill /pid <pid>
sc delete <服务名>netstat -ano -p tcp | findstr "ESTABLISHED"
tasklist /svc | findstr "..*"
taskkill /pid <pid>
sc delete <服务名>