但是通过net user命令以及查看系统注册表的结果得出。这些帐户都已经不存在了，建立成功并登陆过以后就被删除了。所以目录文件还在。

　　那么黑客近期的登陆是凭什么呢?于是乎猜测黑客已经得到了服务器管理员帐号的登陆密码。所以试图查看最近是否有漏删除的登陆记录。

　　果然发现这条登陆记录。来自四川

　　打开访问发现是一个正常的网站，有可能是同样那个入侵者的肉鸡做为跳板登陆的。那么这个入侵者是非常小心的了。要追踪到他的各种途径都被他狡猾和熟练的技巧阻断了。难道就这样放弃了吗?当然不会!那就不是我的作风了!

　　再深入排查的过程中我发现，服务器出现了种植过AV终结者一类病毒的特征——无法显示隐藏文件夹。所以猜想入侵者在提权或者企图渗透的过程中曾经再服务器上运行过下载者一类的木马。于是上网搜索了修复显示隐藏文件的注册表文件。运行修复后对所有可能的隐藏文件及文件夹进行了排查。最后再D:\RECYCLER (垃圾回收站临时目录) 下发现了一个隐藏的文件。

　　文件名为空，大小为246KB。猜测可能是灰鸽子。于是想到要本地运行监听端口。为防万一不是灰鸽子，首先对木马进行了脱壳。