信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
文章作者：凋凌玫瑰[N.C.P.H]

一．技术特点

A>被控端采用DLL设计方式
B>被控端无服务（被控端不依靠服务启动，故不添加任何服务）
C>被控端隐藏文件、注册表、模块、端口连接信息
D>被控端自我保护具备守护能力
E>被控端通过注射IE进程穿透个人防火墙。
F>被控端采用反弹连接，支持域名、IP.


二．服务内容与控制端功能设置

A>文件管理功能大类（批量上传、下载、删除、支持目录、断点续传）
B>进程管理，可浏览、取模块信息、终止进程。
C>服务管理，可浏览、删除、停止、启动指定服务。
D>SHELL命令，可执行任意DOS命令，并返回结果。
E>可锁定、重起、关闭被控计算机、可卸载服务端
F>日志记录，全面操作记录、以及可查看发生故障的原因。
G>截屏、摄像头、自启动、用户、共享信息、软硬件信息等
H>支持语音提示。


ncph远程控制软件5.0正式版使用说明


1）GUIMake.exe
  用于生成一个客户端（exe文件），只需在被控制端运行这个“GUIMake.exe”生成出来的exe文件即可。
反弹地址：可以填一个动态域名（推荐）,也可以填一个固定的ip地址，当然域名和ip是你自己的。
端口:自己喜欢啥端口就填啥端口，被控机上看不到的，也无端口连接的。

生成的程序未加壳，可以自行加壳和做免杀。

2）NCPH5.0主程序端.exe

在配置完上面生成器的东西，并在被控制机上运行生成出的exe文件后，打开“NCPH5.0主程序端.exe”，输入你在生成器填写的端口（注意与配置时的端口一至）,然后单击确定，即可看到上线的被控制机，以及仿windows的人性化操作，其中“杂项”里有卸载功能,注意单击卸载后需重启计算机。

在“帮助”里面有动画，不明白的可以查看。
也可以到http://www.ncph.net/soft/ncph5.0演示动画.rar下载动画。

此软件由无花果和我共同开发，我们的网站是www.ncph.net  and  www.cnasm.com
有什么问题请咨询，此软件免费发放，属于远程控制类，请勿使用于非法，任何与此软件引起的法律问题与我们无关。


by 凋凌玫瑰


2005/05/16

已修正部分bug:
2006/05/28 发布5.0最新版本
2006/05/30 解决5.0鼠标出现漏斗的问题。
2006/05/30 解决5.0不能上线的问题，28日发布的域名字符超10个字符就不能正常上线。
2005/05/30

谢谢指点，我测试了台湾的肉机，发现速度不慢，并且采用了缓存方式，应该能完全满足使用了。在下一个版本中将改善传输算法，便用压缩传输，并增加最新屏幕控制算法和其它的功能。目前版本在稳定性上和免杀方面有很大的提高，不再存在掉肉机的情况，也彻底做到了反iceword功能和反调式功能，在穿墙性有了很大的改善。

引用:

这里是引用第[9 楼]的非注册用户于2006-05-29 01:03发表的：
完了。本机运行之后删不掉了。
一直IE报错。
但是却看不到有被控端上线。没办法清除呀……
我是2000系统。是不是有冲突？
是不是有删除的方法？

我们发布前在各种系统都测试过的，不存在你说的这种情况，应该是你操作的问题，ie不会报错的，上线也没有问题的。

引用:

这里是引用第[10 楼]的goodopell于2006-05-29 11:18发表的：
呵呵  国外ROOTKIT的代码本身原作者就说有BUG  蓝屏都是轻的了

申明：我们没有采用国外的rootkit代码，难道中国人就写不出来了吗？rootkit这段代码是无花果写的，不要看到rootkit就是国外的代码了。何况这并不是rootkit，只是采用了其原理。该软件的所有算法和程式都是我们自己设计的，存在很多bug是必然的。我们采用了很多创新技术，也将不断完善它，只是进度比较慢，毕竟c++不像delphi堆控件那么方便。

这个版本确实bug不少，说是采用了缓存技术，但不知道采用什么缓存技术，我测试还是比较慢，比鸽子都慢不少

在2003服务器上面 多个用户登陆的 时候 IE 就不隐藏了  这反儿没有 3.0的 好用了

客户端删除不了啊
[s:81] 客户端运行后服务器连接不上 想把它清除掉要怎么搞?
客户端常出现间歇性的系统繁忙 肯定是那东西搞的 教个手动清除法先????????

引用:

这里是引用第[21 楼]的苍月孤狼于2006-05-30 14:38发表的：
客户端删除不了啊
[s:81] 客户端运行后服务器连接不上 想把它清除掉要怎么搞?
客户端常出现间歇性的系统繁忙 肯定是那东西搞的 教个手动清除法先????????

简便方法：对于%SystemRoot\system32\NETLIB32.DLL进行MoveFileEx~ 即重启后Rename。懒得自己写小工具的话可以用现成的，比如F-Secure BlackLight，检测出隐藏文件之后点Rename重启即可。有洁癖的话再再删除AppInit_DLLs里的值以及NETLIB32.DLL.ren。

对于常规使用IceSword来手动清除的方法，因为这个版本的后门做了手脚不让IceSword正常运行，不过可以用IceSword最新版1.18。或者可以用Cardmagic以及wowo老兄合写的DarkSpy，某些方面强于IceSword。

这个版本重新修正了一下,附件已改过,修正了域名过长不上线的bug和鼠标间断性繁忙状态的bug.
进一步增了稳定性，我测试了几个台湾香港和英国的肉机，至今还没有掉，稳定性是可以给大家保证的．
传输方面只有在获取硬件如进程等信息时比较慢，但磁盘传输是很快的．在下一个版本中将采用新的压缩传输方式，解决屏幕控制问题和视频传输问题，我们自行设计的屏幕控制和视频传输已及压缩方式已经处于测试阶段，效果比目前的木马都要优．只是c++的开发进度比较慢，请静待．这个版本已完全能解决一般的使用问题，我们将随时保持修正和更新，争取打造出一个优秀的软件，谢谢大家的支持．

size=4]在本机运行控制端后再运行服务端,IE不断报错.

我是XP的，我有个问题是，当我的鸡上线后，如果我关了客户端，再打开就不能上线了，鸡重启就行了，是不是只有服务端运行一次就自动上线一次啊？？？
////////////////
上述问题有改进了， 部分能上线了
不过稳定性还不是很好
不过已经很感谢免费给我们用了，因为现在的版本加个壳就能免杀了，不过我想撑不了多久的。

引用:

这里是引用第[9 楼]的凋凌玫瑰于2006-05-31 12:20发表的：
这个版本重新修正了一下,附件已改过,修正了域名过长不上线的bug和鼠标间断性繁忙状态的bug.
进一步增了稳定性，我测试了几个台湾香港和英国的肉机，至今还没有掉，稳定性是可以给大家保证的．
…………………………………………．

那么多人都出问题。怎么保证

弱弱的请问一句 怎么这个生成器 也要在俺系统安装一个驱动的阿？
[s:73]  [s:89]

试了一下，确实存在不能上线的问题。刚运行头几次上线还可以，过一阵子就不行了，重启客户端也不行。希望楼主解释一下。
另：强烈要求增加文件下载的功能。

在查看代码过程中的确还发现一些问题,在6.0中将全面修正,并加上桌面控制和其它的一些功能.
软件总是会存在bug的,下一步我们将根据你们提出的问题逐步修正bug，重写数据包传输过程中的代码，谢谢大家的意见和支持，我们将不断努力．

期待啊
能加入自定义插入进程就更好了
老插IE 现在杀毒的都死死顶住IE了。。

老出问题，不先把问题解决了，还加什么功能呀 [s:71]

测试不成功~~  在本机上测试 可以上线 但是IE老报错 是不是 这个软件的服务端只能在XP以上的系统用呀~

引用:

这里是引用第[18 楼]的fengyunt于2006-06-06 09:57发表的：
老出问题，不先把问题解决了，还加什么功能呀 [s:71]

当然是在修正问题的同时加功能的,我们也不想它出问题,先前我们测试的时候在各种系统都测试过没问题的,用的人多了,问题也就多了,我们只有根据大家出现的问题不断完善罢了.

引用:

这里是引用第[19 楼]的gyb于2006-06-06 11:49发表的：
测试不成功~~  在本机上测试 可以上线 但是IE老报错 是不是 这个软件的服务端只能在XP以上的系统用呀~

98系统没有测试过.

我一直关注这个软件哦！鸽子功能是强大，但都快给杀度软件弄死了。凋凌玫瑰做6.0的时候，是不是要考虑我5.0的鸡也能上线啊？那样就好了 [s:70]

我在我们的破的阅览室实验,成功了.不过是我和同学实验的.我在他的电脑上运行服务.exe,我的电脑成功的连接上了.
很成功的,不过,需要人家被控端运行的.
有一点,屏幕的监控功能应该改善.

声明:刚才我的贴我用的是别的版本.  用你的这个版本在网吧的肉鸡上实验,没有成功.我运行了,端口54321上没有连接,看来是必须到被控端运行,而不能远程telnet方式运行.