测试环境:
主机192.168.0.1,操作系统Windows XP SP1专业版(由于系统经过自己的优化,删除了很多的功能,所以在测试的时候可能有不正确的地方)
客户机192.168.0.2,操作系统Windows 2000专业版本,对方是不怎么懂电脑的人,这个系统也已经用了1年多了,不过还是没有问题的)
网络环境:网卡,8029-8139,双机互连.
MT.EXE是一个网络管理方面的软件,依照yy3的说法,也就是 “七拼八凑来的,纯粹是图个方便。”可是这个方便个真的是太方便了,有了这40K的一个程序,可以删除我们电脑里面多达几M的程序,让我们先来看看这个程序的真面目吧:
D:\>mt.exe
Usage: mt.exe <Opintion>
Opintion :
-filter ---Change TCP/IP filter to on/off status.
-addport ---Add ports to the filter' allowed portlist.
-setport ---Set ports as the filter' allowed portlist.
-nicinfo ---List TCP/IP interface info.
-pslist ---List active processes.
-pskill ---Kill a specified process.
-dlllist ---List dlls of a specified process.
-sysinfo ---List system info.
-shutdown ---Shutdown system.
-reboot ---Reboot system.
-poweroff ---Turn off power.
-logoff ---Logoff current user's session.
-chkts ---Check Terminal Service info.
-setupts ---Install Terminal Service.
-remts ---Remove Terminal Service.
-chgtsp ---Reset Terminal Service port.
-clog ---Clean system log.
-enumsrv ---List all services.
-querysrv ---List detail info of a specified service.
-instsrv ---Install a service.
-cfgsrv ---Changes the configuration of a service.
-remsrv ---Remove a specified service.
-startsrv ---Start a specified service.
-stopsrv ---Stop a specified service.
-netget ---Download from http/ftp.
-redirect ---Port redirect.
-chkuser ---List all account、sid and anti clone.
-clone ---Clone from admin to dest.
-never ---Set account looks like never logged on.
-killuser ---Del account. Even "guest" account.
-su ---Run process as Local_System privilege.
-findpass ---Show all logged on user's pass.
-netstat ---List TCP connections.
-killtcp ---Kill TCP connection.
-psport ---Map ports to processes.
-touch ---Set the file times for a specified file.
-secdel ---Secure delete files and directory or zap free
pace.
-regshell ---Enter a console registry editor.
-chkdll ---Detect gina dll backdoor.
大家可以看见的是,.他的功能一共有34项,包含我们我们平时使用的大部分软件.下面我就来一项一项的测试,条件和能力有限,希望大家能够指出其中的不足.
一,MT.EXE –filter
Usage:
MT -filter <ON|OFF> ----Enabld|Disable TCP/IP Filter.
从上面的说明可以知道,这个是打开关闭TCP/IP筛选的,我们先来试一下,输入命令:
D:\>MT -FILTER on
Enable TCP/IP Filter successful!
这个时候我们看看试不试打开了TCP/IP筛选,打开网络连接选项,右键本地连接---Internet协议(TCP/IP)属性----高级---选项----TCP/IP筛选-----属性,我们看到的这样的情况,如图:
可以看见,我们已经启用了这个TCP/IP筛选,再次输入命令:
D:\>MT -FILTER off
Disable TCP/IP Filter successful!
查看属性:
有了这个工具,我们就不必那样的麻烦的点击鼠标了,一切都很简单.
二, D:\>mt -addport
Usage:
mt -addport <TCP|UDP> NIC PortList ----Add ports to the allowed portlist.
Use "-nicinfo" get Nic number first.
从说明上面看,是增加端口列表中允许通讯的端口,还是和上面的一样,我们来看看这个功能是如何的强大:
五, -pslist ---List active processes.
列出活动进程,经常用PSTOOLS的很熟悉这个功能了,在这里,我将这个工具和pstools的工具相比较,看看他们的功能怎么样?
D:\>mt -pslist
PID Path
0 [Idle Process]
4 l[System]
464 \SystemRoot\System32\smss.exe
524 \??\C:\WINDOWS\system32\csrss.exe
548 \??\C:\WINDOWS\system32\winlogon.exe
592 C:\WINDOWS\system32\services.exe
604 C:\WINDOWS\system32\lsass.exe
780 C:\WINDOWS\system32\svchost.exe
844 C:\WINDOWS\System32\svchost.exe
876 C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
932 C:\WINDOWS\System32\svchost.exe
960 C:\WINDOWS\System32\svchost.exe
1128 C:\WINDOWS\System32\alg.exe
1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
1188 D:\mysql\bin\mysqld-nt.exe
1280 C:\WINDOWS\System32\nvsvc32.exe
1728 C:\WINDOWS\Explorer.EXE
212 C:\WINDOWS\System32\ctfmon.exe
504 D:\Program Files\Microsoft Office\Office10\WINWORD.EXE
924 D:\Program Files\MYIE2\myie.exe
1348 C:\WINDOWS\System32\dllhost.exe
1516 C:\WINDOWS\System32\dllhost.exe
1856 C:\WINDOWS\System32\msdtc.exe
1356 C:\WINDOWS\System32\cmd.exe
1004 C:\WINDOWS\System32\conime.exe
1748 D:\Program Files\HyperSnap-DX 5\HprSnap5.exe
1272 D:\MT.exe
我们使用PSLIST得到的结果:
D:\hack>pslist
PsList v1.12 - Process Information Lister
Copyright (C) 1999-2000 Mark Russinovich
Systems Internals - http://www.sysinternals.com
Process information for LIN:
Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time
Idle 0 0 1 0 20 0:00:00.000 0:40:22.453 0:00:00.000
System 4 8 56 258 40 0:00:00.000 0:00:06.098 0:00:00.000
smss 464 11 3 21 44 0:00:00.010 0:00:00.100 0:43:10.565
csrss 524 13 11 416 3892 0:00:02.042 0:00:14.240 0:43:06.449
winlogon 548 13 19 443 1044 0:00:01.171 0:00:01.882 0:43:04.185
services 592 9 21 307 940 0:00:00.721 0:00:01.662 0:43:01.582
lsass 604 9 19 304 1132 0:00:00.540 0:00:00.690 0:43:01.532
svchost 780 8 8 255 824 0:00:00.200 0:00:00.160 0:42:58.687
svchost 844 8 55 1214 5740 0:00:02.393 0:00:01.932 0:42:58.457
StyleXPSer 876 8 2 38 416 0:00:00.110 0:00:00.070 0:42:58.357
svchost 932 8 5 46 396 0:00:00.020 0:00:00.040 0:42:56.705
svchost 960 8 7 90 204 0:00:00.060 0:00:00.040 0:42:56.244
alg 1128 8 5 116 220 0:00:00.020 0:00:00.060 0:42:49.144
inetinfo 1160 8 17 281 864 0:00:00.210 0:00:00.330 0:42:49.054
mysqld-nt 1188 8 6 81 76 0:00:00.010 0:00:00.050 0:42:47.602
nvsvc32 1280 8 3 74 92 0:00:00.090 0:00:00.160 0:42:45.378
Explorer 1728 8 20 583 19548 0:00:11.436 0:00:27.519 0:42:37.607
ctfmon 212 8 1 109 1596 0:00:00.340 0:00:01.031 0:42:26.982
WINWORD 504 8 5 394 43428 0:01:04.072 0:00:25.757 0:41:26.194
myie 924 8 9 312 3116 0:00:09.623 0:00:07.460 0:35:36.582
dllhost 1348 8 23 240 1540 0:00:01.982 0:00:00.460 0:35:24.414
dllhost 1516 8 15 200 784 0:00:00.190 0:00:00.230 0:35:22.912
msdtc 1856 8 18 149 372 0:00:00.080 0:00:00.090 0:35:18.896
cmd 1356 8 1 21 592 0:00:00.080 0:00:00.100 0:32:44.414
conime 1004 8 1 25 664 0:00:00.050 0:00:00.030 0:32:42.652
HprSnap5 1748 8 6 168 1648 0:00:01.932 0:00:03.414 0:18:38.798
cmd 1548 8 1 20 1392 0:00:00.020 0:00:00.010 0:00:28.020
pslist 1716 8 2 82 1672 0:00:00.030 0:00:00.050 0:00:00.400
使用PULIST得到的结果:
E:\HACK>pulist
Process PID User
Idle 0
System 4
smss.exe 464 NT AUTHORITY\SYS
csrss.exe 524 NT AUTHORITY\SYS
winlogon.exe 548 NT AUTHORITY\SYS
services.exe 592 NT AUTHORITY\SYS
lsass.exe 604 NT AUTHORITY\SYS
svchost.exe 780 NT AUTHORITY\SYS
svchost.exe 844 NT AUTHORITY\SYS
StyleXPService.exe 876 NT AUTHORITY\SY
svchost.exe 932
svchost.exe 960
alg.exe 1128
inetinfo.exe 1160 NT AUTHORITY\SYS
mysqld-nt.exe 1188 NT AUTHORITY\SYS
nvsvc32.exe 1280 NT AUTHORITY\SYS
Explorer.EXE 1728 LIN\lin
ctfmon.exe 212 LIN\lin
WINWORD.EXE 504 LIN\lin
MyIE.exe 924 LIN\lin
dllhost.exe 1348
dllhost.exe 1516 NT AUTHORITY\SYS
msdtc.exe 1856
cmd.exe 1356 LIN\lin
conime.exe 1004 LIN\lin
HprSnap5.exe 1748 LIN\lin
cmd.exe 1548 LIN\lin
pulist.exe 1788 LIN\lin
从上面的情况可以知道,输入MT还没有PSLIST功能的强大,能够列出Name,Pid,Pri,Thd Hnd,Mem,User Time,Kernel Time,Elapsed Time,但是较于PULIST,已经是很好的了,能够列出进程名和运行路径,已经能够满足我们平时的使用了.
六, D:\>mt -pskill
Usage:
mt -pskill <PID|ProcessName>
同样也是PSTOOLS的工具之一了,我们使用MyIE.exe这个软件作为测试,看看他们能不能杀死这个进程,首先是使用MT,通过上面的MT –PSLIST,我们知道MyIE.exe的PID值是924,于是输入:
D:\>mt -pskill 924
Kill process sccuessful!
很快,MYIE就消失了,也就是被KILL了,再使用PSKILL.EXE,我们表示公平统一性,我们还是有PSLIST取得MYIE的PID值,重新打开MYIE,得到它的PID值为220,我们输入:
D:\hack>pskill 220
PsKill v1.03 - local and remote process killer
Copyright (C) 2000 Mark Russinovich
http://www.sysinternals.com
Process 220 killed.
同样也是很快被KILL,说明MT和PSKILL的功能是一样的,使用MT也可以达到和PSKILL一样的效果.
我们发现MT一个比较弱的功能的就是没有和PSKILL一样支持网络功能,在PSKILL中可以通过pskill [\\RemoteComputer [-u Username]] <process Id or name>
-u Specifies optional user name for login to
remote computer.
杀死远程的计算机进程,当然,我们不可能指望MT也能有这样强大的功能,毕竟我们用的仅仅才只有40K.
七, D:\>mt -dlllist
Usage:
mt -dlllist <PID|ProcessName>
列出进程中相关的DLL文件,于这个相关功能的软件我没有找到,不过我们使用Windows优化大师,我们先来测试一下,这次我们选中的进程是StyleXPService.exe.还是使用MT –pslist得到其PID值876,输入:
D:\>mt -dlllist 876
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\ntdll.dll
C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\USER32.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\OLEAUT32.dll
C:\WINDOWS\system32\MSVCRT.DLL
C:\WINDOWS\system32\VERSION.dll
C:\WINDOWS\System32\SETUPAPI.dll
C:\WINDOWS\System32\NETAPI32.dll
C:\WINDOWS\System32\IMM32.DLL
C:\WINDOWS\System32\LPK.DLL
C:\WINDOWS\System32\USP10.dll
C:\WINDOWS\System32\UXTHEME.DLL
C:\WINDOWS\System32\rsaenh.dll
打开Windows优化大师,看看它得到的相关DLL文件是什么?如图:
使用MT得到的DLL相关文件和Windows优化大师的是一摸一样的,我们可以肯定使用MT绝对比使用Windows优化大师方便快捷.
八, mt –sysinfo
列出系统信息,还是使用Windows优化大师与之作比较,发现几乎没有任何的失误,可见准确性特别强的,由于页面的关系,数据不再展示. 这个功能和程序sysinfo.exe是一样的.
九, -shutdown ---Shutdown system.
-reboot ---Reboot system.
-poweroff ---Turn off power.
-logoff ---Logoff current user's session.
这4个命令就不说了,和系统工具shutdown不一样的是,输入之后没有任何的提示,直接关机,我已经试过了,幸亏还记得保存.
十, -chkts ---Check Terminal Service info.
-setupts ---Install Terminal Service.
-remts ---Remove Terminal Service.
-chgtsp ---Reset Terminal Service port.
这4个命令是和Terminal相关的,由于没有安装服务器版本的系统,所以没有测试.
十一, -clog ---Clean system log.
用来清除记录,我们输入:
D:\>mt -clog
Usage:
mt -clog <app|sec|sys|all> ---Clean Application|Security|System|All logs.
从上面的可以看出,我们可以清除 “应用程序” “安全性” “系统”3个日志,我随便选择一个,用MT删除 “应用程序”日志,输入:
D:\>mt -clog app
Clean EventLog : Application successful!
打开事件查看器,如图,
可以看出日志已经被清空,不过MT并不能和小榕的Cleariislog相比,不能删除指定IP的日志,这个可能是yy3并没有考虑将这个工具用作那样的用途.
十二, -enumsrv ---List all services.
列出所有的服务,这个测试可能你的不同,因为我已经删除了很多的服务的了,为了精简系统和提升速度,还是来看看,
D:\>mt -enumsrv
Usage:
mt -enumsrv <SRV|DRV> ----List all Win32|Driver Service
D:\>mt -enumsrv srv
Num ServiceName DisplayName
0 Alerter Alerter
1 ALG Application Layer Gateway Service
2 AppMgmt Application Management
3 aspnet_state ASP.NET State Service
4 AudioSrv Windows Audio
(省略以下大部分的内容)
D:\>mt -enumsrv drv
Num ServiceName DisplayName
0 Abiosdsk Abiosdsk
1 abp480n5 abp480n5
2 ACPI Microsoft ACPI Driver
3 ACPIEC ACPIEC
4 adpu160m adpu160m
5 aec Microsoft Kernel Acoustic Echo Canceller
6 AFD AFD 网络支持环境
7 Aha154x Aha154x
8 aic78u2 aic78u2
(省略以下大部分的内容)
实在是太多了,也不想说什么了,只有一个字----高.
十三, D:\>mt -querysrv
Usage:
mt -querysrv <ServiceName> ----Show detial info of a specifies service.
列出服务的详细信息,我们查看系统进程Alerter的信息,输入:
D:\>mt -querysrv Alerter
ServiceName: Alerter
Status: Stopped
ServiceType: Win32 Share Service
Start type: Demand Start
LogonID: NT AUTHORITY\LocalService
FilePath : C:\WINDOWS\System32\svchost.exe -k LocalService
DisplayName: Alerter
Dependency: LanmanWorkstation
Description: 通知所选用户和计算机有关系统管理级警报。如果服务停止,使用管理警
报的程序将不会受到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。Start type: Demand Start
LogonID: NT AUTHORITY\LocalService
FilePath : C:\WINDOWS\System32\alg.exe
DisplayName: Application Layer Gateway Service
Dependency:
Description: 为 Internet 连接共享和 Internet 连接防火墙提供第三方协议插件的支
持
实在是很清楚了,当然我们也可以使用mmc查看服务的详细信息,如图:
再一次看见这个参数了,上次已经忘记的了.
十四, -instsrv ---Install a service.
-cfgsrv ---Changes the configuration of a service.
-remsrv ---Remove a specified service.
-startsrv ---Start a specified service.
-stopsrv ---Stop a specified service.
这写命令四和服务相关的,放在一起测试了,服务程序选择了冰河的服务端server.exe,我现在要作的是将这个工具作为服务安装,然后改变配置,开始服务,停止服务等,输入:
十五, D:\>mt -netget
Usage:
mt -netget <url> <filename to saved> ---Download from http/ftp.
这个工具很是实用,直到几个月前,还在安全焦点的论坛上面看见有人需要这样的工具,不过那个时候他们提供的是VBS文件,可惜我现在已经找不到那些代码了,在DOS下下载软件的东西,特别的方便.打建IIS服务器,把server.exe文件放置在根目录下面,在DOS下面输入
D:\>mt -netget http://192.168.0.1/server.exe f:\server.exe
Download File from http://192.168.0.1/server.exe to f:\server.exe.
Download completed 272992 bytes ......
Downloaded 266.6KB @266.6KB/S in 0sec.
File <f:\server.exe> TotalByte : 266 KB.
将下载回来的server.exe文件保存在F盘server.exe文件.
十六, D:\>mt -redirect
Usage:
mt -redirect <TargetIP> <TargetPort> <ListenPort> ----TCP port redirector.
这个功能和FPIPE是一样的,实现端口转换,我们这样测试,将192.168.0.1主机的80端口转化为81端口,这样输入:
D:\>mt -redirect 192.168.0.1 80 81
------Waiting Connection-----
然后另外开一个CMD,telnet到192.168.0.1的81端口,看到这样的情况,第一个CMD显示出了连接的信息,
D:\>mt -redirect 192.168.0.1 80 81
------Waiting Connection-----
Accept client==>192.168.0.1:3027
connect to 192.168.0.1 80 success!
Thread 1988 recv 2 bytes.
Thread 1988 send 2 bytes.
Thread 1988 recv 2 bytes.
Thread 1988 send 2 bytes.
Thread 316 recv 224 bytes.
Thread 316 send 224 bytes.
而第二个CMD也显示出了我们需要得到的信息:
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.1
Date: Wed, 19 May 2004 13:28:53 GMT
Content-Type: text/html
Content-Length: 87
<html><head><title>Error</title></head><body>The parameter is incorrect. </body>
</html>
不过这个功能有一点不稳定,也就是说,有时候可以,有时候又不可以,这次的成功也是重新启动以后才出现的,相对于FPIPE,是方便了很多了,置于FPIPE.exe的用法,实在是让我头痛了几天.
17, D:\>mt -clone
Usage:
mt -clone <SourUser> <DestUser>
克隆账号,有点象小榕的cloneuser,测试一下,新建一个用户yun,现在我要将管理员账号lin克隆为账号yun,输入:
D:\hack>mt -clone lin yun
Fail to Open SAM Key, 操作成功完成。
D:\>mt -clone lin yun
Fail to Open SAM Key, 操作成功完成。
可能是不支持XP系统,虽然提示说操作成功,可是事实上,使用yun登陆的时候,还是没有成功,可能也是有其缺陷或者是我自己操作失败吧.
18, D:\>mt -never
-never ---Set account looks like never logged on.
它可以设置使用户看起来从来没有登陆过,在我的系统里面有2个用户,一个是管理员lin,另外一个是公用的帐户316,现在我把316设置为从不登陆的状态.输入
D:\>mt -never 316
Require System Privilege.提示没有权限,于是
D:\>mt -su
打开新的CMD窗口,输入
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\WINDOWS\system32>d:
D:\>mt -never 316
Fail to Set F Value.
D:\>net user 316
用户名 316
全名 316
注释
用户的注释
国家(地区)代码 000 (系统默认值)
帐户启用 Yes
帐户到期 从不
上次设置密码 2004/5/19 下午 08:22
密码到期 从不
密码可更改 2004/5/19 下午 08:22
需要密码 Yes
用户可以更改密码 Yes
允许的工作站 All
登录脚本
用户配置文件
主目录
上次登录 从不
可允许的登录小时数 All
本地组成员 *Users
全局组成员 *None
命令成功完成。
D:\>
可以看出来已经修改成功了,虽然显示的是Fail to Set F Value.,但还是成功了.这个功能和never.exe是一样的,只是将特定的的帐户上回登陆时间改为帐户从来没有登陆上过系统.
成功条件:你要有local system权限
18, -killuser ---Del account. Even "guest" account.
删除用户,输入D:\>mt -killuser ziqi
Kill User: ziqi Success!
这个功能有一点问题,输入提示已经删除了,可是然后事实上,这个用户并没有删除,我们输入
D:\>net user
\\LIN 的用户帐户
-------------------------------------------------------------------------------
316 Administrator ASPNET
Guest HelpAssistant IUSR_IMAGE
IWAM_IMAGE lin SUPPORT_388945a0
ziqi
命令成功完成。
还是能够看见ziqi的账号,打开控制面板,用户账号,还是能看见这个用户的身影:
但是如果我们以下面这种方式登陆,也就是先运行MT –su得到系统最高权限,在这个CMD下,我们就可以删除账号了,同时也可以删除GUEST用户,虽然我还没有激活这个账号,不知道是什么原因,因为我本身登陆的就已经是administrator组了.删除GUEST的过程:
D:\>mt -killuser guest
Kill User: guest Success!
D:\>net user
\\ 的用户帐户
-------------------------------------------------------------------------------
316 Administrator ASPNET
HelpAssistant IUSR_IMAGE IWAM_IMAGE
lin SUPPORT_388945a0 yun
命令运行完毕,但发生一个或多个错误。
19, -su ---Run process as Local_System privilege.
以系统特权运行进程,在管理员登陆的情况下输入MT –su,马上弹出另外一CMD窗口,在这个窗口中,可以做任何我们想做的事情,这个也是系统的最高权限了.
20 -regshell ---Enter a console registry editor.
以CMD的方式编辑注册表,输入在CMD下不是很方便,不过有时候也是很使用的,输入:
D:\>mt -regshell
HKLM\>dir
<SubKey> HARDWARE
<SubKey> SAM
<SubKey> SECURITY
<SubKey> SOFTWARE
<SubKey> SYSTEM
Total: 5 SubKey, 0 Value.
HKLM\>quitreg
D:\>
和真实环境没有什么区别.
21, -netstat ---List TCP connections.
列出所有的TCP连接,我让192.168.0.2打开IE,访问192.168.0.1的主页,然后输入:
D:\>mt -netstat
Num LocalIP Port RemoteIP PORT Status
11 192.168.0.1 80 192.168.0.2 1050 Established
如果使用的是系统自带的netstat,得到的结果是一样的:
D:\>netstat
Active Connections
Proto Local Address Foreign Address State
TCP LIN:http 192.168.0.2:1050 ESTABLISHED
只是使用MT能够更直接,更容易理解,比如使用端口80代替使用协议HTTP.
22, D:\>mt -killtcp
Usage:
mt -killtcp <ConnectionNum> ----Kill a specifies TCP connection.
和上面的搭配用,如果先KILL192.168.0.2对本机(192.168.0.1)的连接,可以输入:
D:\>mt -killtcp 11
Waiting connection to be close now.
这个时候再输入:
D:\>mt -netstat
Num LocalIP Port RemoteIP PORT Status
D:\>
已经看不到有它的连接了.
23, -chkdll ---Detect gina dll backdoor.
检查gina木马后门,这个问题以前是很流行了,所以也被考虑进来了,使用很简单:
D:\>mt -chkdll
GinaDll not found.
Winlogon Notification Package Dll:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
crypt32.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
cryptnet.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
cscdll.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
sclgntfy.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
WlNotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
wlnotify.dll
Please make sure if they were backdoors.
如果我安装了GINA木马,会出现这样的情况:
D:\>mt -chkdll
GinaDll exist:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDll
c:\windows\system32\ntshellgina.dll
很快就被检测出来了,实在是很方便,呵呵,其实我那个DLL文件早就被KILL了,只是修改了一下注册表而已,不过也显示了这个工具的强大性.
24, -psport ---Map ports to processes.
显示进程的端口,这个功能和哪个工具的功能一样的呢,呵呵,忘记了,对了是FPORT.EXE,呵呵,很久没有用了,还是来看看他们有什么不同的地方:
D:\>mt -psport
Proto Listen PID Path
TCP 0.0.0.0:80 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
TCP 0.0.0.0:135 780 C:\WINDOWS\system32\svchost.exe
TCP 0.0.0.0:443 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
TCP 0.0.0.0:1025 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
TCP 0.0.0.0:1026 4 [System]
TCP 0.0.0.0:3025 960 C:\WINDOWS\System32\svchost.exe
TCP 0.0.0.0:3027 1252 C:\WINDOWS\System32\msdtc.exe
TCP 0.0.0.0:3306 1176 D:\mysql\bin\mysqld-nt.exe
TCP 127.0.0.1:3001 1120 C:\WINDOWS\System32\alg.exe
TCP 127.0.0.1:3002 844 C:\WINDOWS\System32\svchost.exe
TCP 127.0.0.1:3003 844 C:\WINDOWS\System32\svchost.exe
TCP 192.168.0.1:139 4 [System]
TCP 192.168.0.1:3011 4 [System]
UDP 0.0.0.0:500 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
UDP 0.0.0.0:3456 780 C:\WINDOWS\system32\svchost.exe
UDP 127.0.0.1:3020 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
UDP 127.0.0.1:3026 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
UDP 192.168.0.1:137 4 [System]
UDP 192.168.0.1:138 960 C:\WINDOWS\System32\svchost.exe
使用FPORT.EXE得到下面的结果
E:\HACK>fport /ap
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
1120 -> 3001 TCP
960 -> 3025 TCP
1252 -> 3027 TCP
4 System -> 1026 TCP
4 System -> 139 TCP
4 System -> 3011 TCP
1160 inetinfo -> 1025 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 443 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 80 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
844 svchost -> 3002 TCP C:\WINDOWS\System32\svchost.exe
844 svchost -> 3003 TCP C:\WINDOWS\System32\svchost.exe
780 svchost -> 135 TCP C:\WINDOWS\system32\svchost.exe
1176 mysqld-nt -> 3306 TCP D:\mysql\bin\mysqld-nt.exe
960 -> 138 UDP
4 System -> 137 UDP
1160 inetinfo -> 3020 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 3026 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 500 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe
780 svchost -> 3456 UDP C:\WINDOWS\system32\svchost.exe
基本上差不多了,不过感觉好像FPORT更加强大一点,因为我现在在FPORT中用了参数,为了使2个更容易对比一些.
这里还有一个比较好的软件,使GUI的,抓图下来如下:
24, -touch ---Set the file times for a specified file.
查看文件修改时间,下载或者COPY,转移会改变文件的最后修改时间,而使用这个命令可以查看文件的最后修改时间,举个例子,我们现在看到的文件mt.exe,如图,
而事实上,我们使用下面的命令:
D:\>mt -touch mt1.exe
Set FileTime Successful.
CreationTime : 07/10/2002
LastAccessTime : 19/05/2004
LastWriteTime : 07/10/2002
可以知道其创建时间不使2004年5月19日,而是CreationTime : 07/10/2002,相信这个也就使yy3写这个程序的时间了.与这个相关的软件有偷touch.exe,可以我电脑里面的这个文件已经本病毒破坏了。
25, -chkuser ---List all account、sid and anti clone.
这个功能,测试不了,虽然说使列出所有的用户,SID和反克隆设置,但是,一旦输入,就有错误发生
26, -findpass ---Show all logged on user's pass.
得到所有登陆用户的密码,由于这个命令是For NT/2K only.,所以我在客户机上面测试这个功能,输入,很容易就得到了密码:
G:\WINNT\system32>mt -findpass
mt -findpass
The logon information :
Domain : 316-2AS8L1B1FL5
Username : Administrator
Password : winyaj
G:\WINNT\system32>
这个比findpass.exe还方便一些,不需要知道用户进程的PID值.
后记:MT确实是一个很不错的工具,它能够让我们很容易的做很多事情,而不用到处去找相关的软件,
字体:大 中 小
主机192.168.0.1,操作系统Windows XP SP1专业版(由于系统经过自己的优化,删除了很多的功能,所以在测试的时候可能有不正确的地方)
客户机192.168.0.2,操作系统Windows 2000专业版本,对方是不怎么懂电脑的人,这个系统也已经用了1年多了,不过还是没有问题的)
网络环境:网卡,8029-8139,双机互连.
MT.EXE是一个网络管理方面的软件,依照yy3的说法,也就是 “七拼八凑来的,纯粹是图个方便。”可是这个方便个真的是太方便了,有了这40K的一个程序,可以删除我们电脑里面多达几M的程序,让我们先来看看这个程序的真面目吧:
D:\>mt.exe
Usage: mt.exe <Opintion>
Opintion :
-filter ---Change TCP/IP filter to on/off status.
-addport ---Add ports to the filter' allowed portlist.
-setport ---Set ports as the filter' allowed portlist.
-nicinfo ---List TCP/IP interface info.
-pslist ---List active processes.
-pskill ---Kill a specified process.
-dlllist ---List dlls of a specified process.
-sysinfo ---List system info.
-shutdown ---Shutdown system.
-reboot ---Reboot system.
-poweroff ---Turn off power.
-logoff ---Logoff current user's session.
-chkts ---Check Terminal Service info.
-setupts ---Install Terminal Service.
-remts ---Remove Terminal Service.
-chgtsp ---Reset Terminal Service port.
-clog ---Clean system log.
-enumsrv ---List all services.
-querysrv ---List detail info of a specified service.
-instsrv ---Install a service.
-cfgsrv ---Changes the configuration of a service.
-remsrv ---Remove a specified service.
-startsrv ---Start a specified service.
-stopsrv ---Stop a specified service.
-netget ---Download from http/ftp.
-redirect ---Port redirect.
-chkuser ---List all account、sid and anti clone.
-clone ---Clone from admin to dest.
-never ---Set account looks like never logged on.
-killuser ---Del account. Even "guest" account.
-su ---Run process as Local_System privilege.
-findpass ---Show all logged on user's pass.
-netstat ---List TCP connections.
-killtcp ---Kill TCP connection.
-psport ---Map ports to processes.
-touch ---Set the file times for a specified file.
-secdel ---Secure delete files and directory or zap free
pace.
-regshell ---Enter a console registry editor.
-chkdll ---Detect gina dll backdoor.
大家可以看见的是,.他的功能一共有34项,包含我们我们平时使用的大部分软件.下面我就来一项一项的测试,条件和能力有限,希望大家能够指出其中的不足.
一,MT.EXE –filter
Usage:
MT -filter <ON|OFF> ----Enabld|Disable TCP/IP Filter.
从上面的说明可以知道,这个是打开关闭TCP/IP筛选的,我们先来试一下,输入命令:
D:\>MT -FILTER on
Enable TCP/IP Filter successful!
这个时候我们看看试不试打开了TCP/IP筛选,打开网络连接选项,右键本地连接---Internet协议(TCP/IP)属性----高级---选项----TCP/IP筛选-----属性,我们看到的这样的情况,如图:
可以看见,我们已经启用了这个TCP/IP筛选,再次输入命令:
D:\>MT -FILTER off
Disable TCP/IP Filter successful!
查看属性:
有了这个工具,我们就不必那样的麻烦的点击鼠标了,一切都很简单.
二, D:\>mt -addport
Usage:
mt -addport <TCP|UDP> NIC PortList ----Add ports to the allowed portlist.
Use "-nicinfo" get Nic number first.
从说明上面看,是增加端口列表中允许通讯的端口,还是和上面的一样,我们来看看这个功能是如何的强大:
五, -pslist ---List active processes.
列出活动进程,经常用PSTOOLS的很熟悉这个功能了,在这里,我将这个工具和pstools的工具相比较,看看他们的功能怎么样?
D:\>mt -pslist
PID Path
0 [Idle Process]
4 l[System]
464 \SystemRoot\System32\smss.exe
524 \??\C:\WINDOWS\system32\csrss.exe
548 \??\C:\WINDOWS\system32\winlogon.exe
592 C:\WINDOWS\system32\services.exe
604 C:\WINDOWS\system32\lsass.exe
780 C:\WINDOWS\system32\svchost.exe
844 C:\WINDOWS\System32\svchost.exe
876 C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
932 C:\WINDOWS\System32\svchost.exe
960 C:\WINDOWS\System32\svchost.exe
1128 C:\WINDOWS\System32\alg.exe
1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
1188 D:\mysql\bin\mysqld-nt.exe
1280 C:\WINDOWS\System32\nvsvc32.exe
1728 C:\WINDOWS\Explorer.EXE
212 C:\WINDOWS\System32\ctfmon.exe
504 D:\Program Files\Microsoft Office\Office10\WINWORD.EXE
924 D:\Program Files\MYIE2\myie.exe
1348 C:\WINDOWS\System32\dllhost.exe
1516 C:\WINDOWS\System32\dllhost.exe
1856 C:\WINDOWS\System32\msdtc.exe
1356 C:\WINDOWS\System32\cmd.exe
1004 C:\WINDOWS\System32\conime.exe
1748 D:\Program Files\HyperSnap-DX 5\HprSnap5.exe
1272 D:\MT.exe
我们使用PSLIST得到的结果:
D:\hack>pslist
PsList v1.12 - Process Information Lister
Copyright (C) 1999-2000 Mark Russinovich
Systems Internals - http://www.sysinternals.com
Process information for LIN:
Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time
Idle 0 0 1 0 20 0:00:00.000 0:40:22.453 0:00:00.000
System 4 8 56 258 40 0:00:00.000 0:00:06.098 0:00:00.000
smss 464 11 3 21 44 0:00:00.010 0:00:00.100 0:43:10.565
csrss 524 13 11 416 3892 0:00:02.042 0:00:14.240 0:43:06.449
winlogon 548 13 19 443 1044 0:00:01.171 0:00:01.882 0:43:04.185
services 592 9 21 307 940 0:00:00.721 0:00:01.662 0:43:01.582
lsass 604 9 19 304 1132 0:00:00.540 0:00:00.690 0:43:01.532
svchost 780 8 8 255 824 0:00:00.200 0:00:00.160 0:42:58.687
svchost 844 8 55 1214 5740 0:00:02.393 0:00:01.932 0:42:58.457
StyleXPSer 876 8 2 38 416 0:00:00.110 0:00:00.070 0:42:58.357
svchost 932 8 5 46 396 0:00:00.020 0:00:00.040 0:42:56.705
svchost 960 8 7 90 204 0:00:00.060 0:00:00.040 0:42:56.244
alg 1128 8 5 116 220 0:00:00.020 0:00:00.060 0:42:49.144
inetinfo 1160 8 17 281 864 0:00:00.210 0:00:00.330 0:42:49.054
mysqld-nt 1188 8 6 81 76 0:00:00.010 0:00:00.050 0:42:47.602
nvsvc32 1280 8 3 74 92 0:00:00.090 0:00:00.160 0:42:45.378
Explorer 1728 8 20 583 19548 0:00:11.436 0:00:27.519 0:42:37.607
ctfmon 212 8 1 109 1596 0:00:00.340 0:00:01.031 0:42:26.982
WINWORD 504 8 5 394 43428 0:01:04.072 0:00:25.757 0:41:26.194
myie 924 8 9 312 3116 0:00:09.623 0:00:07.460 0:35:36.582
dllhost 1348 8 23 240 1540 0:00:01.982 0:00:00.460 0:35:24.414
dllhost 1516 8 15 200 784 0:00:00.190 0:00:00.230 0:35:22.912
msdtc 1856 8 18 149 372 0:00:00.080 0:00:00.090 0:35:18.896
cmd 1356 8 1 21 592 0:00:00.080 0:00:00.100 0:32:44.414
conime 1004 8 1 25 664 0:00:00.050 0:00:00.030 0:32:42.652
HprSnap5 1748 8 6 168 1648 0:00:01.932 0:00:03.414 0:18:38.798
cmd 1548 8 1 20 1392 0:00:00.020 0:00:00.010 0:00:28.020
pslist 1716 8 2 82 1672 0:00:00.030 0:00:00.050 0:00:00.400
使用PULIST得到的结果:
E:\HACK>pulist
Process PID User
Idle 0
System 4
smss.exe 464 NT AUTHORITY\SYS
csrss.exe 524 NT AUTHORITY\SYS
winlogon.exe 548 NT AUTHORITY\SYS
services.exe 592 NT AUTHORITY\SYS
lsass.exe 604 NT AUTHORITY\SYS
svchost.exe 780 NT AUTHORITY\SYS
svchost.exe 844 NT AUTHORITY\SYS
StyleXPService.exe 876 NT AUTHORITY\SY
svchost.exe 932
svchost.exe 960
alg.exe 1128
inetinfo.exe 1160 NT AUTHORITY\SYS
mysqld-nt.exe 1188 NT AUTHORITY\SYS
nvsvc32.exe 1280 NT AUTHORITY\SYS
Explorer.EXE 1728 LIN\lin
ctfmon.exe 212 LIN\lin
WINWORD.EXE 504 LIN\lin
MyIE.exe 924 LIN\lin
dllhost.exe 1348
dllhost.exe 1516 NT AUTHORITY\SYS
msdtc.exe 1856
cmd.exe 1356 LIN\lin
conime.exe 1004 LIN\lin
HprSnap5.exe 1748 LIN\lin
cmd.exe 1548 LIN\lin
pulist.exe 1788 LIN\lin
从上面的情况可以知道,输入MT还没有PSLIST功能的强大,能够列出Name,Pid,Pri,Thd Hnd,Mem,User Time,Kernel Time,Elapsed Time,但是较于PULIST,已经是很好的了,能够列出进程名和运行路径,已经能够满足我们平时的使用了.
六, D:\>mt -pskill
Usage:
mt -pskill <PID|ProcessName>
同样也是PSTOOLS的工具之一了,我们使用MyIE.exe这个软件作为测试,看看他们能不能杀死这个进程,首先是使用MT,通过上面的MT –PSLIST,我们知道MyIE.exe的PID值是924,于是输入:
D:\>mt -pskill 924
Kill process sccuessful!
很快,MYIE就消失了,也就是被KILL了,再使用PSKILL.EXE,我们表示公平统一性,我们还是有PSLIST取得MYIE的PID值,重新打开MYIE,得到它的PID值为220,我们输入:
D:\hack>pskill 220
PsKill v1.03 - local and remote process killer
Copyright (C) 2000 Mark Russinovich
http://www.sysinternals.com
Process 220 killed.
同样也是很快被KILL,说明MT和PSKILL的功能是一样的,使用MT也可以达到和PSKILL一样的效果.
我们发现MT一个比较弱的功能的就是没有和PSKILL一样支持网络功能,在PSKILL中可以通过pskill [\\RemoteComputer [-u Username]] <process Id or name>
-u Specifies optional user name for login to
remote computer.
杀死远程的计算机进程,当然,我们不可能指望MT也能有这样强大的功能,毕竟我们用的仅仅才只有40K.
七, D:\>mt -dlllist
Usage:
mt -dlllist <PID|ProcessName>
列出进程中相关的DLL文件,于这个相关功能的软件我没有找到,不过我们使用Windows优化大师,我们先来测试一下,这次我们选中的进程是StyleXPService.exe.还是使用MT –pslist得到其PID值876,输入:
D:\>mt -dlllist 876
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\ntdll.dll
C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\USER32.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\OLEAUT32.dll
C:\WINDOWS\system32\MSVCRT.DLL
C:\WINDOWS\system32\VERSION.dll
C:\WINDOWS\System32\SETUPAPI.dll
C:\WINDOWS\System32\NETAPI32.dll
C:\WINDOWS\System32\IMM32.DLL
C:\WINDOWS\System32\LPK.DLL
C:\WINDOWS\System32\USP10.dll
C:\WINDOWS\System32\UXTHEME.DLL
C:\WINDOWS\System32\rsaenh.dll
打开Windows优化大师,看看它得到的相关DLL文件是什么?如图:
使用MT得到的DLL相关文件和Windows优化大师的是一摸一样的,我们可以肯定使用MT绝对比使用Windows优化大师方便快捷.
八, mt –sysinfo
列出系统信息,还是使用Windows优化大师与之作比较,发现几乎没有任何的失误,可见准确性特别强的,由于页面的关系,数据不再展示. 这个功能和程序sysinfo.exe是一样的.
九, -shutdown ---Shutdown system.
-reboot ---Reboot system.
-poweroff ---Turn off power.
-logoff ---Logoff current user's session.
这4个命令就不说了,和系统工具shutdown不一样的是,输入之后没有任何的提示,直接关机,我已经试过了,幸亏还记得保存.
十, -chkts ---Check Terminal Service info.
-setupts ---Install Terminal Service.
-remts ---Remove Terminal Service.
-chgtsp ---Reset Terminal Service port.
这4个命令是和Terminal相关的,由于没有安装服务器版本的系统,所以没有测试.
十一, -clog ---Clean system log.
用来清除记录,我们输入:
D:\>mt -clog
Usage:
mt -clog <app|sec|sys|all> ---Clean Application|Security|System|All logs.
从上面的可以看出,我们可以清除 “应用程序” “安全性” “系统”3个日志,我随便选择一个,用MT删除 “应用程序”日志,输入:
D:\>mt -clog app
Clean EventLog : Application successful!
打开事件查看器,如图,
可以看出日志已经被清空,不过MT并不能和小榕的Cleariislog相比,不能删除指定IP的日志,这个可能是yy3并没有考虑将这个工具用作那样的用途.
十二, -enumsrv ---List all services.
列出所有的服务,这个测试可能你的不同,因为我已经删除了很多的服务的了,为了精简系统和提升速度,还是来看看,
D:\>mt -enumsrv
Usage:
mt -enumsrv <SRV|DRV> ----List all Win32|Driver Service
D:\>mt -enumsrv srv
Num ServiceName DisplayName
0 Alerter Alerter
1 ALG Application Layer Gateway Service
2 AppMgmt Application Management
3 aspnet_state ASP.NET State Service
4 AudioSrv Windows Audio
(省略以下大部分的内容)
D:\>mt -enumsrv drv
Num ServiceName DisplayName
0 Abiosdsk Abiosdsk
1 abp480n5 abp480n5
2 ACPI Microsoft ACPI Driver
3 ACPIEC ACPIEC
4 adpu160m adpu160m
5 aec Microsoft Kernel Acoustic Echo Canceller
6 AFD AFD 网络支持环境
7 Aha154x Aha154x
8 aic78u2 aic78u2
(省略以下大部分的内容)
实在是太多了,也不想说什么了,只有一个字----高.
十三, D:\>mt -querysrv
Usage:
mt -querysrv <ServiceName> ----Show detial info of a specifies service.
列出服务的详细信息,我们查看系统进程Alerter的信息,输入:
D:\>mt -querysrv Alerter
ServiceName: Alerter
Status: Stopped
ServiceType: Win32 Share Service
Start type: Demand Start
LogonID: NT AUTHORITY\LocalService
FilePath : C:\WINDOWS\System32\svchost.exe -k LocalService
DisplayName: Alerter
Dependency: LanmanWorkstation
Description: 通知所选用户和计算机有关系统管理级警报。如果服务停止,使用管理警
报的程序将不会受到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。Start type: Demand Start
LogonID: NT AUTHORITY\LocalService
FilePath : C:\WINDOWS\System32\alg.exe
DisplayName: Application Layer Gateway Service
Dependency:
Description: 为 Internet 连接共享和 Internet 连接防火墙提供第三方协议插件的支
持
实在是很清楚了,当然我们也可以使用mmc查看服务的详细信息,如图:
再一次看见这个参数了,上次已经忘记的了.
十四, -instsrv ---Install a service.
-cfgsrv ---Changes the configuration of a service.
-remsrv ---Remove a specified service.
-startsrv ---Start a specified service.
-stopsrv ---Stop a specified service.
这写命令四和服务相关的,放在一起测试了,服务程序选择了冰河的服务端server.exe,我现在要作的是将这个工具作为服务安装,然后改变配置,开始服务,停止服务等,输入:
十五, D:\>mt -netget
Usage:
mt -netget <url> <filename to saved> ---Download from http/ftp.
这个工具很是实用,直到几个月前,还在安全焦点的论坛上面看见有人需要这样的工具,不过那个时候他们提供的是VBS文件,可惜我现在已经找不到那些代码了,在DOS下下载软件的东西,特别的方便.打建IIS服务器,把server.exe文件放置在根目录下面,在DOS下面输入
D:\>mt -netget http://192.168.0.1/server.exe f:\server.exe
Download File from http://192.168.0.1/server.exe to f:\server.exe.
Download completed 272992 bytes ......
Downloaded 266.6KB @266.6KB/S in 0sec.
File <f:\server.exe> TotalByte : 266 KB.
将下载回来的server.exe文件保存在F盘server.exe文件.
十六, D:\>mt -redirect
Usage:
mt -redirect <TargetIP> <TargetPort> <ListenPort> ----TCP port redirector.
这个功能和FPIPE是一样的,实现端口转换,我们这样测试,将192.168.0.1主机的80端口转化为81端口,这样输入:
D:\>mt -redirect 192.168.0.1 80 81
------Waiting Connection-----
然后另外开一个CMD,telnet到192.168.0.1的81端口,看到这样的情况,第一个CMD显示出了连接的信息,
D:\>mt -redirect 192.168.0.1 80 81
------Waiting Connection-----
Accept client==>192.168.0.1:3027
connect to 192.168.0.1 80 success!
Thread 1988 recv 2 bytes.
Thread 1988 send 2 bytes.
Thread 1988 recv 2 bytes.
Thread 1988 send 2 bytes.
Thread 316 recv 224 bytes.
Thread 316 send 224 bytes.
而第二个CMD也显示出了我们需要得到的信息:
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.1
Date: Wed, 19 May 2004 13:28:53 GMT
Content-Type: text/html
Content-Length: 87
<html><head><title>Error</title></head><body>The parameter is incorrect. </body>
</html>
不过这个功能有一点不稳定,也就是说,有时候可以,有时候又不可以,这次的成功也是重新启动以后才出现的,相对于FPIPE,是方便了很多了,置于FPIPE.exe的用法,实在是让我头痛了几天.
17, D:\>mt -clone
Usage:
mt -clone <SourUser> <DestUser>
克隆账号,有点象小榕的cloneuser,测试一下,新建一个用户yun,现在我要将管理员账号lin克隆为账号yun,输入:
D:\hack>mt -clone lin yun
Fail to Open SAM Key, 操作成功完成。
D:\>mt -clone lin yun
Fail to Open SAM Key, 操作成功完成。
可能是不支持XP系统,虽然提示说操作成功,可是事实上,使用yun登陆的时候,还是没有成功,可能也是有其缺陷或者是我自己操作失败吧.
18, D:\>mt -never
-never ---Set account looks like never logged on.
它可以设置使用户看起来从来没有登陆过,在我的系统里面有2个用户,一个是管理员lin,另外一个是公用的帐户316,现在我把316设置为从不登陆的状态.输入
D:\>mt -never 316
Require System Privilege.提示没有权限,于是
D:\>mt -su
打开新的CMD窗口,输入
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\WINDOWS\system32>d:
D:\>mt -never 316
Fail to Set F Value.
D:\>net user 316
用户名 316
全名 316
注释
用户的注释
国家(地区)代码 000 (系统默认值)
帐户启用 Yes
帐户到期 从不
上次设置密码 2004/5/19 下午 08:22
密码到期 从不
密码可更改 2004/5/19 下午 08:22
需要密码 Yes
用户可以更改密码 Yes
允许的工作站 All
登录脚本
用户配置文件
主目录
上次登录 从不
可允许的登录小时数 All
本地组成员 *Users
全局组成员 *None
命令成功完成。
D:\>
可以看出来已经修改成功了,虽然显示的是Fail to Set F Value.,但还是成功了.这个功能和never.exe是一样的,只是将特定的的帐户上回登陆时间改为帐户从来没有登陆上过系统.
成功条件:你要有local system权限
18, -killuser ---Del account. Even "guest" account.
删除用户,输入D:\>mt -killuser ziqi
Kill User: ziqi Success!
这个功能有一点问题,输入提示已经删除了,可是然后事实上,这个用户并没有删除,我们输入
D:\>net user
\\LIN 的用户帐户
-------------------------------------------------------------------------------
316 Administrator ASPNET
Guest HelpAssistant IUSR_IMAGE
IWAM_IMAGE lin SUPPORT_388945a0
ziqi
命令成功完成。
还是能够看见ziqi的账号,打开控制面板,用户账号,还是能看见这个用户的身影:
但是如果我们以下面这种方式登陆,也就是先运行MT –su得到系统最高权限,在这个CMD下,我们就可以删除账号了,同时也可以删除GUEST用户,虽然我还没有激活这个账号,不知道是什么原因,因为我本身登陆的就已经是administrator组了.删除GUEST的过程:
D:\>mt -killuser guest
Kill User: guest Success!
D:\>net user
\\ 的用户帐户
-------------------------------------------------------------------------------
316 Administrator ASPNET
HelpAssistant IUSR_IMAGE IWAM_IMAGE
lin SUPPORT_388945a0 yun
命令运行完毕,但发生一个或多个错误。
19, -su ---Run process as Local_System privilege.
以系统特权运行进程,在管理员登陆的情况下输入MT –su,马上弹出另外一CMD窗口,在这个窗口中,可以做任何我们想做的事情,这个也是系统的最高权限了.
20 -regshell ---Enter a console registry editor.
以CMD的方式编辑注册表,输入在CMD下不是很方便,不过有时候也是很使用的,输入:
D:\>mt -regshell
HKLM\>dir
<SubKey> HARDWARE
<SubKey> SAM
<SubKey> SECURITY
<SubKey> SOFTWARE
<SubKey> SYSTEM
Total: 5 SubKey, 0 Value.
HKLM\>quitreg
D:\>
和真实环境没有什么区别.
21, -netstat ---List TCP connections.
列出所有的TCP连接,我让192.168.0.2打开IE,访问192.168.0.1的主页,然后输入:
D:\>mt -netstat
Num LocalIP Port RemoteIP PORT Status
11 192.168.0.1 80 192.168.0.2 1050 Established
如果使用的是系统自带的netstat,得到的结果是一样的:
D:\>netstat
Active Connections
Proto Local Address Foreign Address State
TCP LIN:http 192.168.0.2:1050 ESTABLISHED
只是使用MT能够更直接,更容易理解,比如使用端口80代替使用协议HTTP.
22, D:\>mt -killtcp
Usage:
mt -killtcp <ConnectionNum> ----Kill a specifies TCP connection.
和上面的搭配用,如果先KILL192.168.0.2对本机(192.168.0.1)的连接,可以输入:
D:\>mt -killtcp 11
Waiting connection to be close now.
这个时候再输入:
D:\>mt -netstat
Num LocalIP Port RemoteIP PORT Status
D:\>
已经看不到有它的连接了.
23, -chkdll ---Detect gina dll backdoor.
检查gina木马后门,这个问题以前是很流行了,所以也被考虑进来了,使用很简单:
D:\>mt -chkdll
GinaDll not found.
Winlogon Notification Package Dll:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
crypt32.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
cryptnet.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
cscdll.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
sclgntfy.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
WlNotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
wlnotify.dll
Please make sure if they were backdoors.
如果我安装了GINA木马,会出现这样的情况:
D:\>mt -chkdll
GinaDll exist:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDll
c:\windows\system32\ntshellgina.dll
很快就被检测出来了,实在是很方便,呵呵,其实我那个DLL文件早就被KILL了,只是修改了一下注册表而已,不过也显示了这个工具的强大性.
24, -psport ---Map ports to processes.
显示进程的端口,这个功能和哪个工具的功能一样的呢,呵呵,忘记了,对了是FPORT.EXE,呵呵,很久没有用了,还是来看看他们有什么不同的地方:
D:\>mt -psport
Proto Listen PID Path
TCP 0.0.0.0:80 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
TCP 0.0.0.0:135 780 C:\WINDOWS\system32\svchost.exe
TCP 0.0.0.0:443 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
TCP 0.0.0.0:1025 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
TCP 0.0.0.0:1026 4 [System]
TCP 0.0.0.0:3025 960 C:\WINDOWS\System32\svchost.exe
TCP 0.0.0.0:3027 1252 C:\WINDOWS\System32\msdtc.exe
TCP 0.0.0.0:3306 1176 D:\mysql\bin\mysqld-nt.exe
TCP 127.0.0.1:3001 1120 C:\WINDOWS\System32\alg.exe
TCP 127.0.0.1:3002 844 C:\WINDOWS\System32\svchost.exe
TCP 127.0.0.1:3003 844 C:\WINDOWS\System32\svchost.exe
TCP 192.168.0.1:139 4 [System]
TCP 192.168.0.1:3011 4 [System]
UDP 0.0.0.0:500 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
UDP 0.0.0.0:3456 780 C:\WINDOWS\system32\svchost.exe
UDP 127.0.0.1:3020 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
UDP 127.0.0.1:3026 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
UDP 192.168.0.1:137 4 [System]
UDP 192.168.0.1:138 960 C:\WINDOWS\System32\svchost.exe
使用FPORT.EXE得到下面的结果
E:\HACK>fport /ap
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
1120 -> 3001 TCP
960 -> 3025 TCP
1252 -> 3027 TCP
4 System -> 1026 TCP
4 System -> 139 TCP
4 System -> 3011 TCP
1160 inetinfo -> 1025 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 443 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 80 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
844 svchost -> 3002 TCP C:\WINDOWS\System32\svchost.exe
844 svchost -> 3003 TCP C:\WINDOWS\System32\svchost.exe
780 svchost -> 135 TCP C:\WINDOWS\system32\svchost.exe
1176 mysqld-nt -> 3306 TCP D:\mysql\bin\mysqld-nt.exe
960 -> 138 UDP
4 System -> 137 UDP
1160 inetinfo -> 3020 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 3026 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 500 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe
780 svchost -> 3456 UDP C:\WINDOWS\system32\svchost.exe
基本上差不多了,不过感觉好像FPORT更加强大一点,因为我现在在FPORT中用了参数,为了使2个更容易对比一些.
这里还有一个比较好的软件,使GUI的,抓图下来如下:
24, -touch ---Set the file times for a specified file.
查看文件修改时间,下载或者COPY,转移会改变文件的最后修改时间,而使用这个命令可以查看文件的最后修改时间,举个例子,我们现在看到的文件mt.exe,如图,
而事实上,我们使用下面的命令:
D:\>mt -touch mt1.exe
Set FileTime Successful.
CreationTime : 07/10/2002
LastAccessTime : 19/05/2004
LastWriteTime : 07/10/2002
可以知道其创建时间不使2004年5月19日,而是CreationTime : 07/10/2002,相信这个也就使yy3写这个程序的时间了.与这个相关的软件有偷touch.exe,可以我电脑里面的这个文件已经本病毒破坏了。
25, -chkuser ---List all account、sid and anti clone.
这个功能,测试不了,虽然说使列出所有的用户,SID和反克隆设置,但是,一旦输入,就有错误发生
26, -findpass ---Show all logged on user's pass.
得到所有登陆用户的密码,由于这个命令是For NT/2K only.,所以我在客户机上面测试这个功能,输入,很容易就得到了密码:
G:\WINNT\system32>mt -findpass
mt -findpass
The logon information :
Domain : 316-2AS8L1B1FL5
Username : Administrator
Password : winyaj
G:\WINNT\system32>
这个比findpass.exe还方便一些,不需要知道用户进程的PID值.
后记:MT确实是一个很不错的工具,它能够让我们很容易的做很多事情,而不用到处去找相关的软件,
字体:大 中 小
紫琦在 2004年11月15日16:04星期一 评论:
-instsrv、-cfgsrv、-remsrv、-startsrv、-stopsrv都是服务(包括驱动程序)设置的选项。
①instsrv <Service> <path= > <type= > <display= > <starttype= > [description= ] 安装服务的。
使用这个功能必须有上面用尖括号括起来的参数。
<Service>是服务名字;
<path= >是可执行文件的绝对路径。注意必须有等号后面的空格;
<type= >是服务类型,type= <Kernel|File|Share|Own>
服务(service)用Share|Own,驱动程序(driver)只能用Kernel|File。
一个可执行文件里面包含多个服务的就用Share,一个可执行文件只有一个服务的就用Own。
一般常用的是Own。
<display= >是显示名;
<starttype= >是服务的启动方式。starttype= <Auto|Demand|Disabled|BOOT|SYSTEM>
一般服务只用到Auto|Demand|Disabled,驱动程序用的是BOOT|SYSTEM。
比如:RpcSs服务,
Service为RpcSs;
path= "C:\WINDOWS\system32\svchost -k rpcss"
type= Share
display= "Remote Procedure Call (RPC)"
starttype= Auto
description= "作为终结点映射程序(endpoint mapper)和 COM 服务控制管理器使用。如果此服务被停用或禁用,使用 COM 或远程过程调用(RPC)服务的程序工作将不正常。"
这个功能用起来可能有点繁琐,不过却提供了最大的自主性(service和driver都能安装)。不过还是没有sc.exe里面的选项多。
①instsrv <Service> <path= > <type= > <display= > <starttype= > [description= ] 安装服务的。
使用这个功能必须有上面用尖括号括起来的参数。
<Service>是服务名字;
<path= >是可执行文件的绝对路径。注意必须有等号后面的空格;
<type= >是服务类型,type= <Kernel|File|Share|Own>
服务(service)用Share|Own,驱动程序(driver)只能用Kernel|File。
一个可执行文件里面包含多个服务的就用Share,一个可执行文件只有一个服务的就用Own。
一般常用的是Own。
<display= >是显示名;
<starttype= >是服务的启动方式。starttype= <Auto|Demand|Disabled|BOOT|SYSTEM>
一般服务只用到Auto|Demand|Disabled,驱动程序用的是BOOT|SYSTEM。
比如:RpcSs服务,
Service为RpcSs;
path= "C:\WINDOWS\system32\svchost -k rpcss"
type= Share
display= "Remote Procedure Call (RPC)"
starttype= Auto
description= "作为终结点映射程序(endpoint mapper)和 COM 服务控制管理器使用。如果此服务被停用或禁用,使用 COM 或远程过程调用(RPC)服务的程序工作将不正常。"
这个功能用起来可能有点繁琐,不过却提供了最大的自主性(service和driver都能安装)。不过还是没有sc.exe里面的选项多。
