软件作者：被诅咒的神
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

这是一个免费开源的远程控制软件，源码仅供学习参考，请勿用于非法用途。

功能特点：
1.提供CMDSHELL、文件管理、进程管理、端口代理（未完成）、屏幕捕获和一些其它功能

2.可感染32位PE文件，感染后可选择在宿主进程空间中运行（无进程）或创建新进程运行，
在宿主进程中运行还可选择端口劫持，即复用宿主所打开的端口，感染不影响宿主正常运行

3.用到了一些内核技术，包括活动进程链脱链（隐藏进程），与ICESWORD相同的进程强杀方
法（能杀掉一些杀毒软件的进程），Ring0打开文件（用于感染正在运行的可执行文件），
2000/xp下采用无驱Ring0

4.同时支持正向连接和反向连接，服务端和控制端均可接受管理多个连接

感染文件方法：ntshell.exe -infect C:\test.exe
ntshell.exe先用生成服务端生成

安装成系统服务：ntshell.exe -install
服务移除：ntshell.exe -remove

代码编译环境：Windows XP SP2 + VC6.0
服务端采用纯C编写，VC直接编译
控制端为C++和WTL，需在VC中加入WTL支持才能编译

test01.JPG (51 KB)

2007-12-31 00:38

test02.JPG (71 KB)

2007-12-31 00:38

test03.JPG (56 KB)

2007-12-31 00:38

  
如果您发现BUG或是有什么好的建议，请发送mail给我：ktwyz#163.com

注：由于没时间做兼容性测试，一些内核操作可能导致系统蓝屏，测试前请先保存好数据
注2：该版本尚未加入驱动支持，故暂时无法在2003下使用Ring0的全部功能


2008-01-01更新：
修正以服务方式运行程序会崩溃的BUG
修正部分窗口不能用快捷键的问题
修正控制台——下载并运行不能运行的BUG


2008-01-13更新：
内码改为unicode，非简体中文系统不会乱码了
增加了一个小型PELOADER，运行被感染的文件后不会再释放出DLL文件
增加了文件上传下载功能（不太好用，可以无视）
修正了几个BUG，做了一些小调整


ntshell停止开发，在此感谢提供BUG和支持我的朋友

不错吧~LZ可以考虑加入穿还原的代码撒，毕竟现在大多数是网吧用户嘛。。。还有界面貌似是MFC写的？

收藏。。谢谢。。。

还原卡可以破解吗！呵呵！主要是破解的还原卡需要密码！我哪知道管理员密码是那个！呵呵！

引用:

引用第2楼pc逍遥鼠于2007-12-31 11:06发表的 :
怎么大家做的都是木马呀！难道这个东西很值钱吗！还不如做几个CC的攻击器那！至少可以成为商用的！呵呵！木马这个东西主要不就是免杀吗！不免杀也就没有什么作用了！功能都差不多！

这个是自用的，而且设计之初就没考虑过用来挂马，所以没做免杀
另外做这个除了自用就是研究技术，要商用就不开源了。。。。。。。

那个穿还原的好象不是破解掉还原卡~~
是不需要密码的~~应该是写了比还原个级别更高的驱动下载者~（听说的）
哈哈~这个好东西我就收下了~~最近正在研究怎么写远程控制~~

引用:

引用第3楼fucking于2007-12-31 12:11发表的 :
不错吧~LZ可以考虑加入穿还原的代码撒，毕竟现在大多数是网吧用户嘛。。。还有界面貌似是MFC写的？

收藏。。谢谢。。。

界面是WTL

不错的木马&病毒模板。。。

建议加精！楼主可以进VIP了

繁体啊，过段时间给改成多语言的好了

引用:

引用第4楼pc逍遥鼠于2007-12-31 12:14发表的 :
还原卡可以破解吗！呵呵！主要是破解的还原卡需要密码！我哪知道管理员密码是那个！呵呵！

怎么不可以破呢？前端时间的机器狗就可以破啊，而且冰点等，还有硬件还原卡都可以穿的。。。你可以去看看机器卡的汇编代码奥。。。

偶觉得大多数远控用户最关注的因素：
1、稳定性好（稳定压倒一切）， 不要占太多cpu
2、基本功能：文件管理、进程管理、cmdshell、注册表、屏幕控制（速度要快）、键盘记录、
摄像头监控、广播功能
3、容易免杀处理
做好上面所叙，每一天都无可挑剔就已经是个非常优秀的远控了

个人现在用Evilotus v1.3.2 觉得该东东是目前最适合自己的远控了，因为其稳定性非常的好，
基本满足上面所叙的，因为作者已经停止更新了，所以十分遗憾
呵呵，因为现在个性化需求太多了，自己动手或者加入某vip吧。

http://blog.csdn.net/sgdgoodboy/archive/2007/11/02/1862727.aspx
关于WTL的介绍...
    搞了这么久VC还不知道有这东东,惭愧.....55555

哎呀，这个时候发出来意义是不同凡响的啊。
我也是头次认识WTL
注意我顶贴的时间

我还认为如果能加进参透还原精灵的功能的话,那就VERY GOOD,界面为不美化啊,这个界面看起来很土气

好象少了一个键盘记录,我刚刚试验了下不错,我也帮你试验做了免杀了能过34款杀毒软件,.呵呵.谢谢你的分享,我准备把他改成我专业版本不知道你可否接受,我把他美化一下

机器狗可是个好东西，要是有源代码或者生成器就好了！呵呵！等待的就是这个病毒！呵呵！在网吧内大面积释放！呵呵！

测试了一下,WSYSCHECK和冰刃下无法隐藏进程和服务.

引用:

引用第17楼█黑夜网客█于2008-01-01 03:39发表的 :
好象少了一个键盘记录,我刚刚试验了下不错,我也帮你试验做了免杀了能过34款杀毒软件,.呵呵.谢谢你的分享,我准备把他改成我专业版本不知道你可否接受,我把他美化一下

可以啊，保留原作者信息就行了

引用:

引用第19楼andds于2008-01-01 10:56发表的 :
测试了一下,WSYSCHECK和冰刃下无法隐藏进程和服务.

正常的，其实要彻底隐藏最好的方法就是不要有进程

引用:

引用第19楼andds于2008-01-01 10:56发表的 :
测试了一下,WSYSCHECK和冰刃下无法隐藏进程和服务.

仅仅断ActiveProcess链骗骗任务管理器还行。
pass IS，RKU还是要用点猥亵手法的.

eg. 关csrss.exe中的handle，抹PspCidTable，顺便自己实现线程调度，把KeDispatcherReadyListHead、KiWaitListHead....的表头换到自己新建的链头中去，忽悠下靠这些链检测隐藏进程的anti-rootkit还是可以的。。。。

引用:

引用第22楼被诅咒的神于2008-01-01 13:11发表的 :
昨天发了只免杀ASM病毒的源码好像没通过审核，有兴趣的直接发邮件找我要吧 ktwyz@163.com
注意不要跟贴留自己的邮箱，会把本贴搞得很乱


以下是那只病毒的介绍：
.......

免杀和过主防还是有区别滴，MS微点快上市了，未来的主动防御越来越强大咯。
还木有等你进R0就已经被扼杀在摇篮中，免杀做的再还也木有用啊~

现在还是免杀更重要些
反向连接

引用:

引用第24楼sudami于2008-01-01 13:18发表的 :


免杀和过主防还是有区别滴，MS微点快上市了，未来的主动防御越来越强大咯。
还木有等你进R0就已经被扼杀在摇篮中，免杀做的再还也木有用啊~

这东西除了Ring0外没有什么明显的病毒特征，而且这东西也不依赖Ring0，
它具有的行为大部分正常软件也具有，应该不存在被主动防御杀掉的可能

引用:

引用第10楼被诅咒的神于2007-12-31 14:12发表的 :
繁体啊，过段时间给改成多语言的好了

期待繁體版的面世,呵呵...謝謝樓主的無私奉獻,這東西夠我研究一段長時間了.
另外樓主有沒有Delphi版的源碼呀,其他程序的也可以,望能分享一下.

再怎么隐藏进程总可以检测出来。。。
现在都玩 dll + sys了，没有进程

引用:

引用第23楼sudami于2008-01-01 13:13发表的 :

仅仅断ActiveProcess链骗骗任务管理器还行。
pass IS，RKU还是要用点猥亵手法的.

.......

过IS不是什么大课题了，或者直接无痕做掉IS...
其他一些隐藏方法，公布出来的就都不是什么方法了，自己猥琐点，多法结合，或者利用一些XX技术...

PS: 这个世界真小,KernelPollution里也有你... 上EST真费力...