议题提交：bluelight
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

前段时间，看到有人为了破解黑客之门服务器端的密码，还特意做了个程序

一直没碰到过比我先到的，所以没有关注
今天运气好，碰到一个。呵呵

开始还在想着怎么破解它的密码：
那个读取密码程序的思路是：
把服务端拖回来，放在自己的黑客之门1。2文件夹，运行读取器就可以读取密码了

先找出它的dll文件，这个文件可以在服务里面先找到他的服务名，先开注册表
regedit
找到这个键，在里面找到黑客之门的服务名，比如是Iprip：
那么这个就是他存放dll的地方
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Iprip\Parameters]
ServiceDll：C:\WINNT\system32\serverdll.dll

开始还在想着破解它的密码，突然想到可以把这个文件替换不就行了吗？
安装都不用了。
先把serverdll.dll改名，然后把自己的dll改名成serverdll.dll放到C:\WINNT\system32\下
或者干脆更改ServiceDll的键值了，这个随便你自己了

然后重起，黑门就为你而开了。呵呵。

个人感觉黑客之门感染方式很不稳定，所以楼上的这种想法
我碰到不多，我自己用感染方式安装后弄死了很多肉鸡
不敢试了
不过，尽管是感染方式，他也有dll的文件在系统里

黑客之门是不错的一个rootkit,稳定性和可用性超过了ntrootkit和同类的rootkit,楼上说的感染方式很不稳定,我不赞成这种说法,主要看你会不会正确使用,建议多看看yyt写的详细用法和说明!!!

引用:

下面是引用bluelight于2005-09-11 04:18发表的:
个人感觉黑客之门感染方式很不稳定，所以楼上的这种想法
我碰到不多，我自己用感染方式安装后弄死了很多肉鸡
不敢试了
不过，尽管是感染方式，他也有dll的文件在系统里

黑客之门的独到之处就是能够通过感染文件方式获得自身启动

至少我使用的n台机器采用感染文件方式,windows 2k pro/server/adv server 和windows xp pro sp0/sp1以及windows 2003 server很稳定

我感觉现在最近出的“随意门”挺好的，暂时没有发现什么问题，

比较倾向 bits  [s:46]

dll木马好像还不是很成熟，
只需要用简单的抓包工具就可以搞定
估计没有管理员不会用抓包吧
如果仅仅为了抓几个不大懂得安全设置的个人机器
好用的东西多的是

何况木马公布出来了，很快就会被杀掉的
这个dll木马最大的好处不在于他的运用，
而在于提供了一种思路，
它的制作方法有学习的价值

（1）现在谁的黑门不是自己修改过的免杀版？
“开始还在想着怎么破解它的密码：
那个读取密码程序的思路是：
把服务端拖回来，放在自己的黑客之门1。2文件夹，运行读取器就可以读取密码了”

要能读出之前先脱壳等还原到原来的版本，
还要注意版本情况哦！或许有影响哦！
（2）“先找出它的dll文件，这个文件可以在服务里面先找到他的服务名，先开注册表
regedit
找到这个键，在里面找到黑客之门的服务名，比如是Iprip：
那么这个就是他存放dll的地方
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Iprip\Parameters]
ServiceDll：C:\WINNT\system32\serverdll.dll

”
可能你的那台J上的黑客之门是以服务方式安装，现在这种情况很少哦！！！！！很少见有人用黑门以服务方式安装！！！！！！放着 通过感染系统文件来启动后门 不用，来以服务方式来启动！连我这个菜鸟也不明白？？？？？

（3）其实如果楼主说是替换DLL文件方法成立的话
众所周知黑门是有日志的可以根据日志来找到DLL，来替换！

说的不对的请大家批评，指正！

自己写个黑客之门之类了不就行了？其实黑客之门这种所谓的rootkit写起来不算难，其实黑客窒闷只是半个rootkit。
真正的ring0 Rootkit写起来就不像写黑客之门这样能几天搞定的。

如果是用SERVICES服务或SVCHOST启动的话是不能停掉服务的,那你怎么改名?

还有黑客之门有无日志版的,只在安装和删除的时候有日志,但我相信那个时候产生的日志是会被删掉的
不然用这个版本干什么?所以通过这个方法也有局限性!

我以前看过这中文章,一个牛人把那个DLL下载回来后脱壳,然后就破解了~

我还想到了一个比较笨的办法,如果服务器装有杀软(不装的好象不多吧),可以把那个DLL上报然后等着管理员把那个杀掉,自己的不就可以种了吗?但是这样也就暴露被入侵了~

一个人观点,说得不好不要拿鸡蛋砸我~

引用:

下面是引用111111113于2005-11-09 16:10发表的:
（1）现在谁的黑门不是自己修改过的免杀版？
“开始还在想着怎么破解它的密码：
那个读取密码程序的思路是：
把服务端拖回来，放在自己的黑客之门1。2文件夹，运行读取器就可以读取密码了”

.......

在终端下你怎么插入进程?????
非要借助MT?

to楼上
有了终端先搞个黑客守卫 PCSHARE！

然后再连上去装黑客之门

有了终端权限搞个CMDSHELL不难吧！

to 楼上 admin权限 非system权限
如果是webshell下 你用su  直接装黑门,我不知道你是怎么插进程的.
主要我太懒了,懒的弹回shell了 嘿嘿 [s:51]

我是按默认配置安装该后门的.

结果肉机整没了一大堆~~~

感觉不是很稳定.

感觉这个dll很不错。比其他的好用做免杀也比较好。稳定可能在70%吧。

hkdoor稳定性确实不错

但是我用的时候发现在xp_sp2下不是很好用，试了几次都报错。。。。。。。。。但2k下很稳定

"黑客之门 " ..听你们介绍有的那么好.下载了个1.2版的.花了1小时做了个免杀了.
..放在虚拟机上试验.一切正常。。
可是一放在肉机上。。就fails。。。郁闷。。
不知道怎么回事哦！！
然道是人品问题吗？
4台肉机上试验都失败..
。。感觉。垃圾...

黑客之门不错了拉，至少我觉得用在服务器上比用rootkit好点吧。

引用:

下面是引用pc逍遥鼠于2005-11-08 19:19发表的:
我感觉现在最近出的“随意门”挺好的，暂时没有发现什么问题，

是啊。这个很不错。。又小。