yyt_hac's web

软件开发,编程,计算机技术,工具软件

yyt_hac's ntrootkit

          yyt_hac's ntrootkit是一个windows平台下的rookit,从2003年开始开发,其中经历了1.0版,1.1版,1.2版,1.21版,到2004.6完成的1.22版,也是最终版。

                                     yyt_hac's ntrootkit 1.22 简介

免责申明:本人发布这个工具是为了向大家展示最新的后门技术,使大家能够更好的防范它,请不要用于非法用途,对于使用本工具造成的后果,本人概不负责。

一、简介
   本ntrootkit采用无连接协议,不开端口,有四种协议可以选择(0:userdefined,1:icmp,2:udp,3:tcp),注意第三种方式,它只是使用了tcp数据包进行通讯,并没有建立tcp连接,用这种方式只要把目标端口设置成任意一个目标机器上开的端口,一般都会成功的机会很大。它隐藏进程,文件,目录,服务,注册表项和用户,提供一些很有用的命令。由于该rootkit有ddos功能,请不要公开传播!如果已经安装了ntrootkit 1.0,必须用'-i'选项升级,重起系统后生效。

  ntrootkit 1.1版增加了远程安装,ddos,键盘记录功能。

  ntrootkit 1.2版相对于1.1版做了如下改进:

1.修改不能进行键盘记录的bug
2.增加隐藏用户的命令
3.增加system命令,可以在不开命令行窗口的情况下执行外部命令,用system函数运行命令时会弹出命令行窗口,因此改为用winexec执行,而这个函数不能执行系统内部命令,如dir等。
4.增加配置文件,可以自己配置rootkit,在下面有详细说明
5.隐藏的东西在3389终端中也看不到,注意:用hide系列命令添加的隐藏项在3389终端中不会马上被隐藏,而是在重新连接终端后隐藏,在配置文件中添加的隐藏项在3389终端中安装完rootkit就能隐藏。
6.增加getsysinfo 命令,可以得到远程机器的一些基本信息
7.增加用fport也看不到被隐藏进程及其开的端口的功能
8.连接密码和网络通讯都进行加密
9.连接异常退出后不需要等几分钟,可以马上连接,但是客户端的ip和连接类型不能改变。

  ntrootkit 1.21版相对于1.2版主要增加一种新的连接方式,非常强大,它使得用户可以使用任何一种telnet工具连接到肉鸡任意一个开的端口上,如139,445,80等,不影响原来端口的功能,而且在肉鸡上用netstat看不到rootkit建立的连接。

ntrootkit 1.22版相当于1.21版做了如下改变:

1、修正了连接上的一个bug,这个bug会使用户连不上部分一个网卡绑定多个ip地址的机器。
2、增加查看当前机器登录用户的功能,可以用getsysinfo得到当前登录用户。
3、增加了隐藏tcp和udp端口的功能。
4、增加在配置文件中可以配置rootkit的服务显示名和服务的描述消息
5、增加对windows xp和2003的支持。

这是ntrootkit的最终版,不再继续开发了.

二、使用环境
   Windows 2000系列操作系统,Windows Xp,Windows 2003(包括客户端和服务器端)

下载地址:

ntrootkit122.rar (137.5KB)

使用说明:
readme1.22_cn.txt

                                                                       
Loading

浙公网安备 33010802005082号

浙ICP备15018881号