首先第一个是定位出可疑的连接的PID，然后再从pid再定位出可疑的进程。然后再从进程到它的全路径，知道这个路径之后，确定是可以的话，就把它删除，利用 q把它删除掉，这两条命令都可以杀死这个进程。然后我做一个演示，为什么要这样,因为有一些后门和木马的话是很难找删掉的，就是你直接关闭是关不掉的，需要利用命令或者是权限高一点才能关掉.

所以我首先是做个木马拿出来，我在虚拟机里面来做演示，然后用netstat的amo这个命令查看有没有可疑的可疑的建立链接的，Ouch。查找的意思，建立链接有这么多，然后后面都是80 443端口，这些都是访问web的，这些都是比较安全的，因为访问 80，这些都是比较安全的，然后这里发现有一个他跟7001这个端口连接了，这个端口的话，一般都是比较可疑的。

然后我们就可以看一下这个5516这个pid,从管道筛选出来，5516这个pid是哪个进程的，发现了是a进程的。这个进程怎么这么奇怪，a，而且它连接的是外面的一个7001端口，所以我就查一下它到底是在哪里。用用刚才的查找命令看看a的路径，再D盘下面，然后我们可以去直接去的。在这里 a，然后我们把它删掉，删不掉。因为它正在运行当中，我们是删不掉的，然后我我们要先把它关闭，下面也找不到他在哪里执行，只能在这个cmd命令行下面把它删掉，我们直接这里这里删是删不掉的，那因为他在执行当中，然后先把它这个进程杀死，5516 pid -f是强制把他杀死的意思。已经成功终止掉这个进程了。

然后我们再netstat -an看一下，看一下他还在不在,已经没有了，这个有5516还在。可能是杀死他了之后，他还他又建立了新连接了。再杀一次。PID5516。没有，可能是已经删掉了，但是它显示还是缓存还在，但是已经删掉了，已经关闭这个进程了。然后我们现在把它杀，把刚才那个木马删掉，发现已经删除掉了。