[原创]自己写的免杀3389.exe(08.1.25更新)
软件作者:28度的冰([url]www.bit.edu.cn[/url])信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
这是工具的说明:
[quote]Usage:start Terminal Services.
Options:3389 <OS> <Portnumber>
If XP or 2003,OS=0,while 2000 OS=1.
Portnumber is the port you'd like to open for TS
If OS=1,the computer have to reboot.
To stop TS,input portnumber=0.[/quote]
我觉得还是有参数的好,自己体会吧。(该不会有人不会判断系统类型吧。。。最简单的方法ver命令)
我的免杀并不是加壳什么的,直接写出来就是免杀的,呵呵。
共享才是硬道理! 2000 sp4下测试不通过`~~~ [quote]引用第2楼qsg1982于2007-03-21 13:06发表的 :
2000 sp4下测试不通过`~~~[/quote]
怎么一个情况?
我在自己的虚拟机和朋友的虚拟机下测试都是可以的阿。
说说具体情况吧。
//确定参数正确?
//3389 1 1234这样就代表把2000的TS开到1234并重启。
//3389 0 1234这样就是把XP或者2003的TS开到1234,不用重启。
//3389 1 0停止2000的TS并重启。
//3389 0 0停止xp或者2003的TS,不用重启。
这是2000sp4上的测试
3389 1 12345
TCP 0.0.0.0:12345 0.0.0.0:0 LISTENING 下过来试试
我学校的网站2003的 我明明用 net start "terminal service" 开了远程桌面的,可是在netstat -an 里看不到3389端口开放了......
用别的端口也连不了.... 用 LZ的试试? [quote]引用第3楼28度的冰于2007-03-21 13:18发表的 :
怎么一个情况?
我在自己的虚拟机和朋友的虚拟机下测试都是可以的阿。
说说具体情况吧。
//确定参数正确?
.......[/quote]
到底是1234 还是12345啊??? 举例的时候是1234
我自己测试的时候是12345阿
1-65535都是可以的,只要不冲突 [quote]引用第3楼nixilin于2007-03-21 13:54发表的 :
下过来试试
我学校的网站2003的 我明明用 net start "terminal service" 开了远程桌面的,可是在netstat -an 里看不到3389端口开放了......
用别的端口也连不了.... 用 LZ的试试?[/quote]
两个疑问
1
应该是 net start "terminal services"吧。。。。你少了一个s
2
这样肯定是开不开的。。。 LZ,,免杀,做得很好。如果能源码共享。。那就更 [s:269] [quote]引用第7楼hacks9321于2007-03-21 15:57发表的 :
LZ,,免杀,做得很好。如果能源码共享。。那就更 [s:269][/quote]
其实是不敢贴出来,因为操作都是在system()下的,怕有人[s:264] 呵呵```有机会一定要测试在肉鸡上测试下
先下了再说. TO LZ
可以了 ~~~ 2000 SP4下通过 是偶系统策略设置的问题~~sorry了~~ 不过还是有个小bug 偶图传不上~~~~~ [quote]引用第11楼qsg1982于2007-03-21 16:58发表的 :
不过还是有个小bug 偶图传不上~~~~~[/quote]
什么bug呢?
图是可以传的啊。如果是命令行的:右键-标记,选定文字,再点一下右键,命令行下的东西就会被复制。 测试了一下,还可以。我个人很喜欢命令行的,因为命令行的东西确实石块是快,所以linux才比windows快的,就像EXP一样。你们见过图形界面的EXP?反正我没有 [s:265]
整个程序的流程是--判断用户输入参数--判断输入的条件,以此判断操作系统--写脚本对注册表操作执行。下面我挑一小段主要的来分析:
.text:004014C9 mov [esp+0A8h+var_A4], offset s_0 ; "0"
.text:004014D1 mov eax, [eax]
.text:004014D3 mov [esp+0A8h+var_A8], eax
.text:004014D6 call strcmp
;参数直接放在寄存器里传递,而不是同过堆栈。对比一下作者的命令是否0
;dec的编译器使用的是不同于Intel的命令
.text:004014D6
.text:004014DB test eax, eax ;返回值,然后跳到loc_401514
.text:004014DD jnz short loc_401514
.text:00401514 loc_401514:
.text:00401514 mov [esp+0A8h+var_A8], offset s_EchoWindowsRe ; "echo Windows ;Registry Editor Version 5."...
.text:0040151B call system
.text:0040151B
.text:00401520 mov [esp+0A8h+var_A8], offset s_Echo_>>amethy ; "echo. ;>>amethyst.reg"
.text:00401527 call system
.text:00401527
重组代码:
#include <stdio.h>
#include <windows.h>
void main(int argc, char *argv[])
{
char buff[]="0";
if(argc!=2)
{
printf("Usage: %s 0 \n",argv[0]);
printf("Example: %s 0\n",argv[0]);
exit(0);
}
int ret = strcmp(buff,argv[1]);
if (ret=NULL)
{
system("echo Windows Registry Editor Version 5.00 >>amethyst.reg");
system("echo. >>amethyst.reg");
return;
}
} 纯纯的支持。
俺学校那堆2003有救了
过完礼拜就去测试。 D:\evilo\3389>3389 1 1234
'regedit' 不是内部或外部命令,也不是可运行的程序
或批处理文件。
Now,the computer is rebooting...
'rundll32' 不是内部或外部命令,也不是可运行的程序
或批处理文件。
找不到 D:\evilo\3389\restar.bat
偶的其他系统命令是正常的(系统相关)~~~~regedit /rundll32
LZ给分析下哦~~~ [quote]引用第18楼qsg1982于2007-03-22 10:29发表的 :
D:evilo3389>3389 1 1234
'regedit' 不是内部或外部命令,也不是可运行的程序
或批处理文件。
Now,the computer is rebooting...
'rundll32' 不是内部或外部命令,也不是可运行的程序
.......[/quote]
....
程序中有一行regedit /s amethyst.reg
我很奇怪为什么你的操作系统没有regedit,win95-win 2003都是有这个命令的。
因为它是一个外部命令,所以我怀疑你的regedit是不是改名或者被删了了。。。
后面的rundll32这个关系到一个dll吧,我不太清楚为什么你会没有。
找不到 D:\evilo\3389\restar.bat让我发现代码中有一个地方写错了应该是restart.bat,不过不影响。 晕哦 估计是偶的环境问题 ~~
偶的regedit可以在运行里开 可在DOS下就是这提示哦[img]http://www.512u.com/tu.jpg[/img] 弄完之后,对terminal services服务的命令全部都灰色了?? 不明白你的意思?
你截割图吧 [quote]引用第3楼nixilin于2007-03-21 13:54发表的 :
下过来试试
我学校的网站2003的 我明明用 net start "terminal service" 开了远程桌面的,可是在netstat -an 里看不到3389端口开放了......
用别的端口也连不了.... 用 LZ的试试?[/quote]
. 这是我在虚拟机下的测试的,不晓得浪开的,貌似端口没有开
C:\Documents and Settings\Administrator>3389 0 12345
Now,stop current "Terminal Servicse"
Now,start "Terminal Servicse"
OK!Please check.
C:\Documents and Settings\Administrator>netstat -a -n
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2425 0.0.0.0:0 LISTENING
TCP 127.0.0.1:43958 0.0.0.0:0 LISTENING
TCP 192.168.1.19:21 0.0.0.0:0 LISTENING
TCP 192.168.1.19:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:1030 *:*
UDP 0.0.0.0:2425 *:*
UDP 127.0.0.1:123 *:*
UDP 192.168.1.19:123 *:*
UDP 192.168.1.19:137 *:*
UDP 192.168.1.19:138 *:*
C:\Documents and Settings\Administrator> 哦,补充说一点,运行以后在右击我的电脑属性,远程那里那个勾已经被打上了,但是连接不进去,提示"客户端无法连接到远程计算机 连接可能没有启动或者计算机太忙,无法接受新的连接.也有可能网络问题使您无法连接.请以后再试,如果问题继续出现请于管理员联系." 是2000 还是2003? windows xp sp2 C:\Documents and Settings\Administrator>netstat -a -n
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2425 0.0.0.0:0 LISTENING
TCP 127.0.0.1:43958 0.0.0.0:0 LISTENING
TCP 192.168.1.19:21 0.0.0.0:0 LISTENING
TCP 192.168.1.19:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:1030 *:*
UDP 0.0.0.0:2425 *:*
UDP 127.0.0.1:123 *:*
UDP 192.168.1.19:123 *:*
UDP 192.168.1.19:137 *:*
UDP 192.168.1.19:138 *:*
xpsp2装serv-u??汗
你把防火墙或者杀毒关掉再连连看。 奇怪了。我在肉鸡上试验了下。不能开啊。 不好意思啊。可以了。他重新启动后好等一会才能显示端口开启。测试通过。~~~~~~ XP系统 显示开启3389服务了 但是连接不上。
用的是虚拟机测试的 没有装任何的杀软 防火墙也关了。 [s:263] 真是好东西,经我测试能过全系统 [quote]引用第27楼28度的冰于2007-04-28 09:40发表的 :
xpsp2装serv-u??汗
你把防火墙或者杀毒关掉再连连看。
.......[/quote]
因为是虚拟机,所以我没有装防火墙和杀毒软件啊,弄不开也
serv-u是装起给寝室里面的共享电影用滴,不过貌似安全隐患N大 xp下未通过! 提醒一下,xp下administrator如果为NULL是不可以连接的! [s:232] 用VBS脚本文件来开3389是最好的..还可以看到终端开放的端口 有时候可以 有时候不可以。 在SHELL测试了好多次
SYSTEM权限 [quote]引用第37楼123456789于2007-06-08 13:56发表的 :
有时候可以 有时候不可以。 在SHELL测试了好多次
SYSTEM权限[/quote]
嗯 其实 确实是这样的——有时可以有时不可以,但是我不知道为什么 不免杀了.. 好像还有一个是SC的吧
是开启服务类型的 [quote]引用第3楼nixilin于2007-03-21 13:54发表的 :
下过来试试
我学校的网站2003的 我明明用 net start "terminal service" 开了远程桌面的,可是在netstat -an 里看不到3389端口开放了......
用别的端口也连不了.... 用 LZ的试试?[/quote]
net start terminal service 要重启后服务才会打开 [s:270] 2000下测试 只改端口 没重启........ 哪个是最新的?.......... [quote]原帖由 [i]28度的冰[/i] 于 2007-3-21 17:10 发表 [url=http://forum.eviloctal.com/redirect.php?goto=findpost&pid=81685&ptid=27714][img]images/common/back.gif[/img][/url]
什么bug呢?
图是可以传的啊。如果是命令行的:右键-标记,选定文字,再点一下右键,命令行下的东西就会被复制。 [/quote]
居然可以这样复制:sweat: :sweat: :sweat:
以前在命令行下复制让人非常晕
谢谢.....一个小技巧:loveliness: :loveliness: 虚拟机下用了一下,不错,和我以前写的差不多:smile: 虽然15楼的asm分析出了楼主的代码,看上去很简单,但我仍希望楼主能公布出你的源代码,让我等小菜来学习一下,呵呵。。。。:smile:
[[i] 本帖最后由 tlhelen 于 2008-2-24 00:03 编辑 [/i]] 是测试系统类型的还是开3389的 好东西,测试下先!:lol: :lol: :lol: 我用两台服务器鸡测试
我开的是4455端口
提示4455端口已经开放
但是全部连接不上.:call: [quote]原帖由 [i]asm[/i] 于 2007-3-21 22:10 发表 [url=https://forum.eviloctal.com/redirect.php?goto=findpost&pid=81705&ptid=27714][img]images/common/back.gif[/img][/url]
[s:265]
整个程序的流程是--判断用户输入参数--判断输入的条件,以此判断操作系统--写脚本对注册表操作执行。下面我挑一小段主要的来分析:
.text:004014C9 mov [esp+0A8h+var_A4], offset s_0 ; "0"
.text ... [/quote]
....
ASM很淫荡。。。。:lol: 嗯。程序还有不够的地方,没有打开也是正常现象。:lol:
关于技术细节,其实没有什么技术。
如果非要说有的话,那就是:2k3先把TS关闭,然后把端口改掉,然后再开启TS。这样端口就变了,不用重启。
这个程序写的并不好,我开始鄙视我自己了。如果有时间,我写一个更好的。
页:
[1]
2