yyt_hac's web

软件开发,编程,计算机技术,工具软件

黑客之门(hacker's door)

       黑客之门是windows平台下的一个比较先进的后门,从2004年9月开始发布1.0版,其中经历了1.1版,到2005.3完成的1.2版,也是最终版,之后由于工作调动以及国家法律对公开发布黑客类软件惩罚力度的加强,这是本人最后一个公开发布的黑客类软件,也不再提供为个人定制黑客软件的服务。

                                    黑客之门(hacker's door) 1.2 版简介	

免责申明:本人发布这个工具是为了向大家展示最新的后门技术,使大家能够更好的防范它,请不要用于非法用途,对于使用本工具造成的后果,本人概不负责。
					
  黑客之门采用的目前一些先进的后门技术,它只有一个dll文件,通过感染系统文件启动自身,被感染的系统文件大小和日期都不会改变;同时采用线程插入技术,本身没有进程;它本身不开端口,而是重用系统进程开的任意一个端口,如80,135,139,445等,这使得它很容易穿透防火墙,目前还没有工具能发现它。
  黑客之门独特的文件感染启动方式和端口重用技术使得它的隐蔽性是同类软件中最好的,随着稳定性、易用性、功能的加强,我相信它必将成为黑客的终极利器。

1.2版的改变: 
1、由于反向连接还不成熟,而且会影响隐蔽性,暂时去掉。
2、增加一种使用命令行客户端的连接方式,在这种方式中可以传输文件,在这种方式的命令行窗口
中可以使用一些不即时退出的程序,如ftp,也可以登录到其它的命令行式的后门中,如黑客之门。
3、增加了一些有用的命令。
4、增加了隐蔽性和稳定性,改了一些bug。
5、更多的改进等待你们发现。

【使用环境】

服务器端:Windows 2000,Windows XP SP2以下,Windows 2003,服务器端默认文件名为hkdoordll.dll
客户端:Windows 2000及以上操作系统,命令行客户端默认文件名为hdclient.exe
配置程序:Windows 2000及以上操作系统,命令行客户端默认文件名为HDConfig.exe

下载地址:

hkdoor12public.rar (187.2KB)

使用说明:

readme.txt (27.8KB)

yyt_hac's ntrootkit

          yyt_hac's ntrootkit是一个windows平台下的rookit,从2003年开始开发,其中经历了1.0版,1.1版,1.2版,1.21版,到2004.6完成的1.22版,也是最终版。

                                     yyt_hac's ntrootkit 1.22 简介

免责申明:本人发布这个工具是为了向大家展示最新的后门技术,使大家能够更好的防范它,请不要用于非法用途,对于使用本工具造成的后果,本人概不负责。

一、简介
   本ntrootkit采用无连接协议,不开端口,有四种协议可以选择(0:userdefined,1:icmp,2:udp,3:tcp),注意第三种方式,它只是使用了tcp数据包进行通讯,并没有建立tcp连接,用这种方式只要把目标端口设置成任意一个目标机器上开的端口,一般都会成功的机会很大。它隐藏进程,文件,目录,服务,注册表项和用户,提供一些很有用的命令。由于该rootkit有ddos功能,请不要公开传播!如果已经安装了ntrootkit 1.0,必须用'-i'选项升级,重起系统后生效。

  ntrootkit 1.1版增加了远程安装,ddos,键盘记录功能。

  ntrootkit 1.2版相对于1.1版做了如下改进:

1.修改不能进行键盘记录的bug
2.增加隐藏用户的命令
3.增加system命令,可以在不开命令行窗口的情况下执行外部命令,用system函数运行命令时会弹出命令行窗口,因此改为用winexec执行,而这个函数不能执行系统内部命令,如dir等。
4.增加配置文件,可以自己配置rootkit,在下面有详细说明
5.隐藏的东西在3389终端中也看不到,注意:用hide系列命令添加的隐藏项在3389终端中不会马上被隐藏,而是在重新连接终端后隐藏,在配置文件中添加的隐藏项在3389终端中安装完rootkit就能隐藏。
6.增加getsysinfo 命令,可以得到远程机器的一些基本信息
7.增加用fport也看不到被隐藏进程及其开的端口的功能
8.连接密码和网络通讯都进行加密
9.连接异常退出后不需要等几分钟,可以马上连接,但是客户端的ip和连接类型不能改变。

  ntrootkit 1.21版相对于1.2版主要增加一种新的连接方式,非常强大,它使得用户可以使用任何一种telnet工具连接到肉鸡任意一个开的端口上,如139,445,80等,不影响原来端口的功能,而且在肉鸡上用netstat看不到rootkit建立的连接。

ntrootkit 1.22版相当于1.21版做了如下改变:

1、修正了连接上的一个bug,这个bug会使用户连不上部分一个网卡绑定多个ip地址的机器。
2、增加查看当前机器登录用户的功能,可以用getsysinfo得到当前登录用户。
3、增加了隐藏tcp和udp端口的功能。
4、增加在配置文件中可以配置rootkit的服务显示名和服务的描述消息
5、增加对windows xp和2003的支持。

这是ntrootkit的最终版,不再继续开发了.

二、使用环境
   Windows 2000系列操作系统,Windows Xp,Windows 2003(包括客户端和服务器端)

下载地址:

ntrootkit122.rar (137.5KB)

使用说明:
readme1.22_cn.txt

                                                                       

幽灵盾 1.0

         幽灵盾是本人2002年写的一个木马防火墙,它利用APIHOOK技术监视每一个程序行为,一旦发现类似木马的行为,就会根据用户定义的规则实时作出反应,从而使用户能够避免因为运行带木马的程序而不知不觉的中木马的情 况发生,用户再也不怕运行某些来源不明的程序而中木马。由于它能 详细记录程序的行为,高级用户还可以用它来分析木马。

        幽灵盾的功能就相当于目前很多杀毒软件都带的主动防御功能,它的缺点在于很多时候需要用户自己判断软件的行为是否合法,因此需要使用的用户有比较高的电脑技术水平。

        幽灵盾由于写的时间比较早,而且涉及一些系统底层操作,因此只支持windows 2000系统。

下载地址:

gshield.rar (767KB)

使用说明:

一、下载gshield.rar,把它解压缩到一个目录中,然后双击gshield.exe启动程序,弹出如下界面,之后会自动最小化到托盘区

第一个选项卡是查看当前计算机程序监听的端口以及当前的网络连接,如下图:


二、注册表监视

选择第二个选项卡就会切换到注册表监视界面,如下图,在这里可以添加、删除、修改注册表监视规则,主要监控注册表中

可以用来自启动的地方,经常会被木马等恶意软件用来自启动:


三、文件监视
选择第三个选项卡就会切换到文件监视界面,如下图,在这里可以添加、删除、修改文件监视规则,主要监视可以用来自启动
的文件以及系统目录,这些都是木马等恶意软件经常会修改的地方:


四、高级监视
选择第四个选项卡就会切换到高级监视界面,如下图,高级监视主要是监视一些危险API的调用,这些API一般正常软件很少用到,而木马之类的程序经常用到,在这里可以添加、删除、修改高级监视规则:


五、日志
选择第五个选项卡就会切换到日志界面,在这里可以查看各种监视产生的日志,从而有助于发现恶意软件,如下图:


六、系统设置
选择第六个选项卡就会切换到系统设置界面,如下图:

netkiller-----------2002年写的局域网TCP连接监控工具

       NetKiller通过监听并分析网络数据包来监控局域网内的tcp连接,由于目前局域网基本都是用的交换机,所以用正常方法嗅探网络只能抓获本机的数据包,为了监控全局域网的tcp连接,需要采用arp欺骗的方式让所有局域网机器的数据包都经过本机转发,因此最近增加了arp欺骗的工作模式,在启用arp欺骗工作模式时,需要开启本机的路由功能,windows 7系统只要开启Routing and Remote Access 服务即可,其他系统请参考网上文档。

下载地址:

NetKiller.exe (1.7MB)

使用说明:

一、先安装WinPcap 4.1.3

二、双击运行NetKiller.exe,启动工具

三、选择菜单项 “计算机”-》“选择监听网卡” 

四、选择监听网卡

      在如下对话框中根据网卡名称和ip选择当前上网使用的网卡,然后点确定

五、开始监听网络

       点击下图所示的按钮开始监听网络:

六、启用arp欺骗模式

       为了在交换机环境下监听全局域网机器的tcp连接,需要启用arp欺骗模式,如下图:

七、设置规则

      选择 "操作”-》“设置规则”菜单来设置需要禁止的tcp连接,如下图:

八、局域网中tcp连接监控画面

     下图就是正常工作时监控到的局域网tcp连接,左边是局域网机器ip地址和端口(一般就是源地址和端口),右边是远程机器ip地址和端口(一般就是目的端口和地址),粗的线表示数据量比较大的tcp连接。

2002年写的一个局域网内控制计算机上网的工具

本工具通过ARP欺负的方式控制局域网内机器上网,在局域网内任意一台机器上运行即可,不需要在其它机器上安装软件

下载地址:

LanKiller.exe (1.7MB)

使用说明:

一、先安装WinPcap 4.1.3

二、双击运行LanKiller.exe,启动工具

三、选择“计算机”-》“选择工作网卡”

四、选择工作网卡

在如下对话框中根据网卡名称和ip选择当前上网使用的网卡,然后点确定

五、选择“计算机”-》“搜索计算机”

六、控制计算上网

如下图,选中搜索到的计算机,然后选择禁止上网或允许上网,就可以控制计算机上网了


在网络工具中有“瑞士军刀”美誉的NetCat

     netcat是网络工具中的瑞士军刀,它能通过TCP和UDP在网络中读写数据。通过与其他工具结合和重定向,你可以在脚本中以多种方式使用它。使用netcat命令所能完成的事情令人惊讶。

      netcat所做的就是在两台电脑之间建立链接并返回两个数据流,在这之后所能做的事就看你的想像力了。你能建立一个服务器,传输文件,与朋友聊天,传输流媒体或者用它作为其它协议的独立客户端。

本站下载:

nc111nt.zip (104.4KB)

官网:

http://www.securityfocus.com/tools/139

Sysinternals Suite

用于定位windows平台下各种问题的工具包,包含如下工具:

AccessChk

AccessEnum

AdExplorer

AdInsight

AdRestore

Autologon

Autoruns

BgInfo

CacheSet

ClockRes

Contig

Coreinfo

Ctrl2Cap

DebugView

Desktops

Disk2vhd

DiskExt

DiskMon

DiskView

Disk Usage (DU)

EFSDump

FindLinks

Handle

Hex2dec

Junction

LDMDump

ListDLLs

LiveKd

LoadOrder

LogonSessions

MoveFile

NTFSInfo

PendMoves

PipeList

PortMon

ProcDump

Process Explorer

Process Monitor

PsExec

PsFile

PsGetSid

PsInfo

PsPing

PsKill

PsList

PsLoggedOn

PsLogList

PsPasswd

PsService

PsShutdown

PsSuspend

RAMMap

RegDelNull

Registry Usage (RU)

RegJump

SDelete

ShareEnum

ShellRunas

Sigcheck

Streams

Strings

Sync

Sysmon

TCPView

VMMap

VolumeID

WhoIs

WinObj

ZoomIt

本站下载:

SysinternalsSuite.zip (13.1MB)

官网:

https://technet.microsoft.com/en-US/sysinternals

浙公网安备 33010802005082号

浙ICP备15018881号