自变异木马 改变自身hash或将自身大量复制到不同目录, 后台运行,躲避清理 自删除 伪装成系统程序或绑定系统程序 检查 可疑进程 定时任务 启动项 /etc/init.d或service —status-all systemctl list-unit-files | grep enabled