文件列表:

067beta2\067cli\067cli.cpp (12563, 2005-06-04)
067beta2\067cli\067cli.dsp (3401, 2005-03-03)
067beta2\067cli\067cli.dsw (535, 2005-03-03)
067beta2\067cli\067cli.ncb (41984, 2005-06-04)
067beta2\067cli\067cli.opt (48640, 2005-06-04)
067beta2\067cli\067cli.plg (1115, 2005-06-04)
067beta2\067cli\Release (0, 2007-03-23)
067beta2\067cli (0, 2007-03-23)
067beta2\067iis6cli\067iis6cli.cpp (10430, 2005-06-07)
067beta2\067iis6cli\067iis6cli.dsp (3453, 2005-06-01)
067beta2\067iis6cli\067iis6cli.dsw (543, 2005-05-25)
067beta2\067iis6cli\067iis6cli.ncb (41984, 2005-06-07)
067beta2\067iis6cli\067iis6cli.opt (48640, 2005-06-07)
067beta2\067iis6cli\067iis6cli.plg (1322, 2005-06-07)
067beta2\067iis6cli\Release (0, 2007-03-23)
067beta2\067iis6cli (0, 2007-03-23)
067beta2\byloader\byloader.cpp (14321, 2005-06-04)
067beta2\byloader\byloader.dsp (4306, 2005-06-01)
067beta2\byloader\byloader.dsw (539, 2004-11-27)
067beta2\byloader\byloader.ncb (50176, 2005-06-04)
067beta2\byloader\byloader.opt (48640, 2005-06-04)
067beta2\byloader\byloader.plg (1288, 2005-06-04)
067beta2\byloader\Release (0, 2007-03-23)
067beta2\byloader (0, 2007-03-23)
067beta2\ntboot\2003manstr.cpp (2285, 2005-06-02)
067beta2\ntboot\ADE32.CPP (3015, 2005-02-19)
067beta2\ntboot\ADE32.HPP (1797, 2002-02-22)
067beta2\ntboot\ADE32TBL.CPP (10490, 2002-02-22)
067beta2\ntboot\ntboot.cpp (61029, 2005-06-07)
067beta2\ntboot\ntboot.dsp (4138, 2005-05-31)
067beta2\ntboot\ntboot.dsw (535, 2005-02-23)
067beta2\ntboot\ntboot.ncb (230400, 2007-03-11)
067beta2\ntboot\ntboot.opt (53760, 2007-03-11)
067beta2\ntboot\ntboot.plg (2375, 2005-06-07)
067beta2\ntboot\ntboot_old.cpp (50881, 2005-04-08)
067beta2\ntboot\Release (0, 2007-03-23)
067beta2\ntboot (0, 2007-03-23)
067beta2 (0, 2007-03-23)

byshell v0.67 beta2 June 4th,2005 author："by" byshell v0.67 beta2,是一个测试中的ring3 NT rootkit。 一、网络：实现在2000/XP下重复使用任意原有ring3进程打开的防火墙允许的网络端口，尤其是IIS等网络服务程序打开的网络端口，(如80，21，135。像139一类的内核开的端口除外。)，从而可以使您穿过各种软件和硬件防火墙，边界路由器乃至NIDS。在2003下，不能够用普通的方法使用IIS6打开的端口，由于微软将它们移入了内核。请您使用作者提供的IIS6专用客户端。并且在IIS6上实现的后门传输较慢，请不要在这个专用shell上传文件，也不要提供大于100字节的输入。 二、自身隐蔽：该程序利用线程注射DLL到系统进程，解除DLL映射，并删除自身DLL和EXE文件，删除自身创建的服务，仅仅存在于内存中。于是在寄主机器上无法找到任何新增服务项，磁盘文件或者是进程空间里的不明DLL。关机时，该程序会截获关机的调用，在系统关闭之前恢复自己。但是请注意，如果对方不正常关机，会使后门消失。 三、使用方法：第一次使用时，在服务端把ntboot.exe和ntboot.dll放在同一目录下，执行ntboot.exe -install，安装完成后请删除安装文件。或者等效的，执行作者提供的setup.bat。普通的067cli是一般客户端，而067iis6cli是连接IIS6的专用客户端。注意，朋友们不要随便给那个DLL加壳，如果你改变了DLL的imagesize的大小，就必须重新编译ntboot.exe。清除方法：重新引导到安全模式，执行ntboot -remove就可以了。v0.67 beta2不再像beta1那样可以通过杀死spoolsv.exe重启清除。 四、配置该程序：如果你想改变一些设置，比如密码，连接暗号，DLL的imagesize大小(如果您给DLL加壳等等)，XOR密钥等，请重新编译代码或者跟作者联系。因为该程序的特殊性，不方便使用配置文件；请大家见谅。源代码会在正式版发布后不久公开。 五、程序命令说明： 符号#是这个软件的命令提示符。目前支持的命令： cmd 在此后跟你要执行的cmd命令，注意：只能执行一条单独的命令。直到命令执行完毕才返回控制。 eg. #cmddir c:\winnt shell 输入此命令后，进入交互的远程cmd，直到键入endshell返回#提示符。 注意执行此命令后到你输入endshell之前，存在一个cmd.exe进程。 endshell 从shell状态返回#提示符。 byver 查看连接的服务端的版本。 sysinfo 取得对方的一些系统信息。 pslist 对方进程列表。有些BUG，没有对齐。 pskill 杀死对方指定进程。在此后跟你要杀死的进程的PID（由pslist得到）。 eg. #pskill972 modlist 对方指定进程加载的所有DLL的列表。在此后跟你要查看的进程的PID（由pslist得到）。 eg. #modlist972 reboot 重启对方机器。 /////以下的命令不可用于IIS6的后门，只可以用于普通情况： get 在此软件的连接上下载远程文件。怕麻烦所以暂时不支持有空格的文件名:>。命令格式： get 本地保存文件名 远程下载文件名 eg. #get c:\download\file.txt d:\sourcefile.txt put 在此软件的连接上向远程上传文件。怕麻烦所以暂时不支持有空格的文件名:>。命令格式： put 远程保存文件名 本地上传文件名 eg. #put d:\receive\file.txt c:\sourcefile.txt SYN 警告：以下的SYN功能有一定的危险性，仅仅用做测试。如果用户非法使用此功能攻击合法站点，将自己承担全部法律后果。 注意：该功能不支持windows XP sp2。 SYN 使用服务端发起SYN洪水的拒绝服务攻击测试。 参数：SYN 测试对象IP 测试的分钟数 IP伪造类型（可选参数，0是完全伪造，1是C段伪造，2是不伪造，默认为0）每发多少个包休息一次（默认为100个，太多了会使被控制的机器CPU使用100%） 攻击对象端口（可选参数，默认为80WWW端口） 使用的端口（可选参数，0是随机变化，默认为0） 如果选择了某个可选参数，那么在它左边的可选参数就必须被选择，在它右边的可选参数则可以忽略。 eg. #SYN 172.18.1.5 15 eg. #SYN 172.18.1.5 15 1 eg. #SYN 172.18.1.5 15 0 1000 eg. #SYN 172.18.1.5 15 1 200 445 12345 queryDOS 查询服务端SYN攻击测试的详细情况。 endDOS 强制结束服务端的SYN作业。 五、参考资料： [1]Hacker Defender Holy_Father(holy_father_AT_phreaker.net) http://rootkit.host.sk/ [2]cmdbind2 nongmin(nongmin.cn@yeah.net) http://nongmin-cn.8u8.com [3]ADE32 Z0mbie http://z0mbie.host.sk/ 六、感谢： 感谢CVC(www.retcvc.com)和xfocus(www.xfocus.net)的所有朋友的无私帮助。尤其是衷心的谢谢CVC的vxk老兄。祝所有朋友事业有成，家庭幸福。 七、作者简介： 白远方，男，上海华东师范大学2004级学生。喜欢研究系统底层和内核，喜欢交朋友，喜欢看PLMM。 我的联系方式：E-mail:baiyuanfan@163.com。 欢迎朋友们与我联系。

近期下载者：

相关文件：

评论：[我要评论] [举报此文件]

收藏者：