邪恶八进制信息安全团队技术讨论组 » 论坛原创{ Original Paper } » [原创]结合内核和病毒技术的最新远程控制软件ntshell v1.07(开源代码) [查看完整版本]

被诅咒的神 2008-1-20 12:42

[quote]引用第41楼koer于2008-01-05 17:43发表的 :
楼主请问下你的服务端是怎么随机启动的？启动项和服务项一个也没有它的身影？
我在使用的时候查看肉机进程时360安全卫士报NTSHELL注入进程QQ.EXE
还有我点卸载服务端的时候它竟然提示不要乱点啊！ 作者你也太搞笑了吧！！！
它的连接可以看到[/quote]

主要是借助被感染的文件启动
注入进程这个不太清楚，我并没用过注入啊
更新和卸载服务端没做完，总觉得点了没反应不太好
连接没有隐藏，我喜欢用伪装而不是隐藏，用感染+端口劫持

xiao183 2008-1-20 12:42

还没有人回答我啊，到此为什么编译时出现error C2011: '_IO_COUNTERS' : 'struct' type redefinition
这个错误怎么解决，郁闷，难道就没有人编译过？？？？？？？？？

被诅咒的神 2008-1-20 12:43

[quote]引用第50楼xiao183于2008-01-18 21:52发表的 :
文章作者：也没有人回答我编译时出现error C2011: '_IO_COUNTERS' : 'struct' type redefinition
这个错误怎么解决，郁闷，难道就没有人编译过？？？？？？？？？[/quote]

在ntshell.c里把这个结构删掉

metalqiang 2008-1-20 18:22

能不能把反向连接地址改为读网上txt的，这样更方便灵活些，我在ntshell.c里用fopen，fgets都用不起来，为什么呢？
只能用ReadFile,太麻烦了，怎么能支持这些函数呢

xiao183 2008-1-27 11:38

这个版本太不稳定了，我用虚拟机测试一次都没连接上，虽然在客户端上显示机器上线，但根本连接不上服务端，连查看文件都不行，更别说什么屏幕控制了，郁闷，不知道其他兄弟是否有这样情况

adson 2008-1-29 13:18

[quote]引用第60楼xiao183于2008-01-27 11:38发表的 :
这个版本太不稳定了，我用虚拟机测试一次都没连接上，虽然在客户端上显示机器上线，但根本连接不上服务端，连查看文件都不行，更别说什么屏幕控制了，郁闷，不知道其他兄弟是否有这样情况[/quote]
他这个控制不是直接转到那个控制窗体上就行的，你要用哪个功能，要先点控制窗体上的各个控制图标，然后它会自动转到控制页实施控制
比如，你要控制远程桌面，你先得点桌面控制按键，程序就自动转到远程控制的页上

w254602699 2008-2-2 15:38

要写出好的远控
建议楼主在2007鸽子上做改进
一开始自己写是写不出好的呢 要参考人家鸽子
如果说 你这个上线不稳定 还有你这个加了病毒技术 并不好
容易被发现 要象个贼一样无声无息的

185810581 2008-3-3 18:17

更新和卸载服务端没做完
连接没有隐藏
执行上传后的文件运行不起来
操作步骤繁琐
------------希望作者关注下

redbin 2008-3-10 21:22

有没有使用过的人写写心得稳定不稳定什么的?

zaroty 2008-3-10 22:54

还是不错的，就是希望作者能让大家自由修改，只是保存原作者信息，像LINUX一样，做成一个比较好的远控，不知道作者怎么想。。。

fslove 2008-3-16 15:09

2003下一点作用都没.希望作者关注下
连接没隐藏.进程没隐藏.wscsvc.exe
服务更加别说了...
主要的是进程.,直接插入系统进程.

fslove 2008-3-16 15:12

感染2003 测试失败

2003-sp2 englishi
china
两台机器测试都失败,我人品问题哎..

skypwf 2008-3-22 20:21

我觉得作者应该再修改下代码.
用起来有点不习惯,期待可以修改界面.

shaq 2008-3-23 20:39

都有源代码了，可以自己改写一下的，除了感染没有成功之外，其他的我改写了都没有什么问题哦。整个ntshell.c的结构还算清晰啦。写注册表那段好像过不了卡巴司机7。不过论坛上某大牛写的“特殊方法B”可以过卡巴司机7.0.125版。有空了我也逆向看看^_^

yueguo1968 2008-3-26 18:12

当前流行的木马隐藏进程的手段如下：
　　
　　0、初级隐藏，查找任务管理器窗口枚举子窗口找到列进程的列表框，把自己的名字抺去～，这种用一般专业工具即可查。
　　1、中级隐藏，HOOK Win32API 过滤掉马儿自己的进程。只要是驱动级别的进程管理工具基本都可以查。
　　2、中高级隐藏，HOOK SSDT NtQuerySystemInformation，过滤掉马儿自己的进程，具有恢复SSDT功能的驱动级工具可查。
　　3、次高级隐藏，INLINE HOOK SSDT，过滤掉自己进程，恢复INLINE的或直接枚举进程链的可查。
　　4、准高级隐藏，自活动进程链中摘除自己的进程，基于线程调度链表检测技术的工具可查。
　　5、高级隐藏，绕过内核调度链表隐藏进程，基于HOOK－KiReadyThread技术来检测的工具可查

bluefirejl 2008-3-28 16:58

1.0版的。我在虚拟机上开进程用固定端口，可以连上。

刑部专员 2008-5-13 11:52

这个对裸奔的还是可以   关键在于没有免杀 多少有点遗憾啦

进程插入不是查不出  可以留给自己更多时间

[[i] 本帖最后由 刑部专员 于 2008-5-13 11:54 编辑 [/i]]

念经的鱼 2008-5-13 17:51

有没有穿还原的都无所谓的,我们要的是网吧的我、服务器

Smial 2008-6-11 21:09

貌似不能用FTP上线。。。那个大大改了比较好用的。。。给我下。。。

zzly 2008-6-13 20:00

[quote]原帖由 [i]zshoucheng[/i] 于 2007-12-31 13:06 发表 [url=http://forum.eviloctal.com/redirect.php?goto=findpost&pid=106725&ptid=31782][img]images/common/back.gif[/img][/url]
不错的木马&病毒模板。。。

建议加精！楼主可以进VIP了 [s:266] [/quote]
弄成VIP的就没什么意思了，商业化了关注的人就少了

查看完整版本: [原创]结合内核和病毒技术的最新远程控制软件ntshell v1.07(开源代码)

© 1999-2008 EvilOctal Security Team