mingl0280

rsync 或者 robocopy，全盘克隆用 clonezilla 。除了 robocopy 是 Windows 专用其他两个都支持 ssh/smb/ftp

@oed ros，防火墙检测到五分钟内三次 SYN 握手就丢黑名单，今天去看的时候已经三万多还是四万多独立 ip 了。

Visual Syslog Viewer
直接在 windows 上开 syslog 吧哈哈哈

@ng29 函数内跳转指令不存在问题,只要你的函数内跳转指令符合以下要求:
- 不指向在本程序内定义的其它函数,即跳转指令执行的都是处于共享内存区的.
- 不存在可能触发 longjmp 或者其它导致函数退出的指令
另外禁止位置无关代码不会有效的,代码空间不一样了,没法跳转到你自己的内存区继续执行的.

可行,远程线程代码注入中的一步就是这么实现的.
VirtualAllocEx 分配内存同时指定 PAGE_EXECUTE_READWRITE 权限以后用 WriteProcessMemory 将编译后的函数的首地址和函数长度的内存复制到远程线程中,然后给一发 CreateRemoteThread 就可以直接在远程进程里跑你的函数了.
具体资料你完全可以参考 WINAPI 的远程代码注入.

Visio 自己画

Visio 字几画

@Awes0me 方法 1，电脑上装个 wireshark 或者 tcpdump，睡觉前开始抓包，第二天早上起来看。方法 2，交换机做端口镜像然后镜像端口装 wireshark 或者 tcpdump 挂一晚上。

@Awes0me 那你现在要找的就是谁发了魔术包了？