（就地）命令的人，它的工作原理是首先将目标文件复制到一个临时位置，使用正则表达式进行所需的修改，然后将编辑后的文件移回其原始位置。我们发现可以通过符号链接攻击利用此行为从第二个容器复制文件。

3vilGu4rd是一个权限维持的工具。使用VBS编写，并打包成VBE后缀的二进制文件，理论上在xp以后的系统都可以运行。经测试，在win7，w2k8，win2019，win10win11都可以正常进行权限维持。可以在拿到主机权限的时候上传到被害者主机上，运行程序，指定权限维持的后门木马或者其他命令即可。注销上线关机上线操作方式如下：1.上传守护进程3vilGu4rd.vbe到目标主机上，然后上传木马到受害者主机上（remote.exe，自定义路径）2.用CS的shell