今天来上了肉鸡看有什么收获，可是发现不对了，用query user查看了下，发现一个带$的同志上来过

走的时候还没注销

我大怒，卧塌之侧，岂容他人酣睡？一定把他揪出来!

用netstat -an看

看着这个７６１４端口，是不是觉得眼熟？

查了下，　是wollf开的端口，，　可是怎么知道他在哪里呢？

阿key说Tcpview.exe对付这样的最好用，我下了一个回来看

注意看local　address．　这里是程序所占用的端口号.找出了那个可疑的７６１４

结束了它的进程，然后去system32下找这个wrm文件

删了，现在看看开的端口

现在安全了，再放个黑客之门上去，晕，忘记已经放过了:)

       这篇文章会告诉你怎么分析可疑进程滴。