一、WSockExpert，一款对进程抓包的软件

二、打开菜刀，并在WSExplore中找到菜刀进程，右击，打开进程

三、在菜刀中添加一句话木马地址及密码，并连接

四、查看WSExplore，会发现两条可疑的数据包，地址和其他的不一样，提交信息中也有一句话木马地址和密码