团队在处理恶意远控事件时，发现netstat与busybox结果不一致，怀疑存在Rootkit。经过排查库文件劫持和DNS告警，最终定位到被替换的netstat文件，发现并清除恶意行为。