mt.exe.一个不错的东西,功能很强大
来源:互联网 发布:中国网络写手周小平 编辑:程序博客网 时间:2024/05/21 22:29
作者未知...
测试环境:
主机192.168.0.1,操作系统Windows XP SP1专业版(由于系统经过自己的优化,删除了很多的功能,所以在测试的时候可能有不正确的地方)
客户机192.168.0.2,操作系统Windows 2000专业版本,对方是不怎么懂电脑的人,这个系统也已经用了1年多了,不过还是没有问题的)
网络环境:网卡,8029-8139,双机互连.
MT.EXE是一个网络管理方面的软件,依照yy3的说法,也就是 "七拼八凑来的,纯粹是图个方便。"可是这个方便个真的是太方便了,有了这40K的一个程序,可以删除我们电脑里面多达几M的程序,让我们先来看看这个程序的真面目吧:
D:/>mt.exe
Usage: mt.exe <Opintion>
Opintion :
-filter ---Change TCP/IP filter to on/off status.
-addport ---Add ports to the filter' allowed portlist.
-setport ---Set ports as the filter' allowed portlist.
-nicinfo ---List TCP/IP interface info.
-pslist ---List active processes.
-pskill ---Kill a specified process.
-dlllist ---List dlls of a specified process.
-sysinfo ---List system info.
-shutdown ---Shutdown system.
-reboot ---Reboot system.
-poweroff ---Turn off power.
-logoff ---Logoff current user's session.
-chkts ---Check Terminal Service info.
-setupts ---Install Terminal Service.
-remts ---Remove Terminal Service.
-chgtsp ---Reset Terminal Service port.
-clog ---Clean system log.
-enumsrv ---List all services.
-querysrv ---List detail info of a specified service.
-instsrv ---Install a service.
-cfgsrv ---Changes the configuration of a service.
-remsrv ---Remove a specified service.
-startsrv ---Start a specified service.
-stopsrv ---Stop a specified service.
-netget ---Download from http/ftp.
-redirect ---Port redirect.
-chkuser ---List all account、sid and anti clone.
-clone ---Clone from admin to dest.
-never ---Set account looks like never logged on.
-killuser ---Del account. Even "guest" account.
-su ---Run process as Local_System privilege.
-findpass ---Show all logged on user's pass.
-netstat ---List TCP connections.
-killtcp ---Kill TCP connection.
-psport ---Map ports to processes.
-touch ---Set the file times for a specified file.
-secdel ---Secure delete files and directory or zap free
pace.
-regshell ---Enter a console registry editor.
-chkdll ---Detect gina dll backdoor.
大家可以看见的是,.他的功能一共有34项,包含我们我们平时使用的大部分软件.下面我就来一项一项的测试,条件和能力有限,希望大家能够指出其中的不足.
一,MT.EXE –filter
Usage:
MT -filter <ON|OFF> ----Enabld|Disable TCP/IP Filter.
从上面的说明可以知道,这个是打开关闭TCP/IP筛选的,我们先来试一下,输入命令:
D:/>MT -FILTER on
Enable TCP/IP Filter successful!
这个时候我们看看试不试打开了TCP/IP筛选,打开网络连接选项,右键本地连接---Internet协议(TCP/IP)属性----高级---选项----TCP/IP筛选-----属性,我们看到的这样的情况,如图:
可以看见,我们已经启用了这个TCP/IP筛选,再次输入命令:
D:/>MT -FILTER off
Disable TCP/IP Filter successful!
查看属性:
有了这个工具,我们就不必那样的麻烦的点击鼠标了,一切都很简单.
二, D:/>mt -addport
Usage:
mt -addport <TCP|UDP> NIC PortList ----Add ports to the allowed portlist.
Use "-nicinfo" get Nic number first.
从说明上面看,是增加端口列表中允许通讯的端口,还是和上面的一样,我们来看看这个功能是如何的强大:
五, -pslist ---List active processes.
列出活动进程,经常用PSTOOLS的很熟悉这个功能了,在这里,我将这个工具和pstools的工具相比较,看看他们的功能怎么样?
D:/>mt -pslist
PID Path
0 [Idle Process]
4 l[System]
464 /SystemRoot/System32/smss.exe
524 /??/C:/WINDOWS/system32/csrss.exe
548 /??/C:/WINDOWS/system32/winlogon.exe
592 C:/WINDOWS/system32/services.exe
604 C:/WINDOWS/system32/lsass.exe
780 C:/WINDOWS/system32/svchost.exe
844 C:/WINDOWS/System32/svchost.exe
876 C:/Program Files/TGTSoft/StyleXP/StyleXPService.exe
932 C:/WINDOWS/System32/svchost.exe
960 C:/WINDOWS/System32/svchost.exe
1128 C:/WINDOWS/System32/alg.exe
1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
1188 D:/mysql/bin/mysqld-nt.exe
1280 C:/WINDOWS/System32/nvsvc32.exe
1728 C:/WINDOWS/Explorer.EXE
212 C:/WINDOWS/System32/ctfmon.exe
504 D:/Program Files/Microsoft Office/Office10/WINWORD.EXE
924 D:/Program Files/MYIE2/myie.exe
1348 C:/WINDOWS/System32/dllhost.exe
1516 C:/WINDOWS/System32/dllhost.exe
1856 C:/WINDOWS/System32/msdtc.exe
1356 C:/WINDOWS/System32/cmd.exe
1004 C:/WINDOWS/System32/conime.exe
1748 D:/Program Files/HyperSnap-DX 5/HprSnap5.exe
1272 D:/MT.exe
我们使用PSLIST得到的结果:
D:/hack>pslist
PsList v1.12 - Process Information Lister
Copyright (C) 1999-2000 Mark Russinovich
Systems Internals - http://www.sysinternals.com
Process information for LIN:
Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time
Idle 0 0 1 0 20 0:00:00.000 0:40:22.453 0:00:00.000
System 4 8 56 258 40 0:00:00.000 0:00:06.098 0:00:00.000
smss 464 11 3 21 44 0:00:00.010 0:00:00.100 0:43:10.565
csrss 524 13 11 416 3892 0:00:02.042 0:00:14.240 0:43:06.449
winlogon 548 13 19 443 1044 0:00:01.171 0:00:01.882 0:43:04.185
services 592 9 21 307 940 0:00:00.721 0:00:01.662 0:43:01.582
lsass 604 9 19 304 1132 0:00:00.540 0:00:00.690 0:43:01.532
svchost 780 8 8 255 824 0:00:00.200 0:00:00.160 0:42:58.687
svchost 844 8 55 1214 5740 0:00:02.393 0:00:01.932 0:42:58.457
StyleXPSer 876 8 2 38 416 0:00:00.110 0:00:00.070 0:42:58.357
svchost 932 8 5 46 396 0:00:00.020 0:00:00.040 0:42:56.705
svchost 960 8 7 90 204 0:00:00.060 0:00:00.040 0:42:56.244
alg 1128 8 5 116 220 0:00:00.020 0:00:00.060 0:42:49.144
inetinfo 1160 8 17 281 864 0:00:00.210 0:00:00.330 0:42:49.054
mysqld-nt 1188 8 6 81 76 0:00:00.010 0:00:00.050 0:42:47.602
nvsvc32 1280 8 3 74 92 0:00:00.090 0:00:00.160 0:42:45.378
Explorer 1728 8 20 583 19548 0:00:11.436 0:00:27.519 0:42:37.607
ctfmon 212 8 1 109 1596 0:00:00.340 0:00:01.031 0:42:26.982
WINWORD 504 8 5 394 43428 0:01:04.072 0:00:25.757 0:41:26.194
myie 924 8 9 312 3116 0:00:09.623 0:00:07.460 0:35:36.582
dllhost 1348 8 23 240 1540 0:00:01.982 0:00:00.460 0:35:24.414
dllhost 1516 8 15 200 784 0:00:00.190 0:00:00.230 0:35:22.912
msdtc 1856 8 18 149 372 0:00:00.080 0:00:00.090 0:35:18.896
cmd 1356 8 1 21 592 0:00:00.080 0:00:00.100 0:32:44.414
conime 1004 8 1 25 664 0:00:00.050 0:00:00.030 0:32:42.652
HprSnap5 1748 8 6 168 1648 0:00:01.932 0:00:03.414 0:18:38.798
cmd 1548 8 1 20 1392 0:00:00.020 0:00:00.010 0:00:28.020
pslist 1716 8 2 82 1672 0:00:00.030 0:00:00.050 0:00:00.400
使用PULIST得到的结果:
E:/HACK>pulist
Process PID User
Idle 0
System 4
smss.exe 464 NT AUTHORITY/SYS
csrss.exe 524 NT AUTHORITY/SYS
winlogon.exe 548 NT AUTHORITY/SYS
services.exe 592 NT AUTHORITY/SYS
lsass.exe 604 NT AUTHORITY/SYS
svchost.exe 780 NT AUTHORITY/SYS
svchost.exe 844 NT AUTHORITY/SYS
StyleXPService.exe 876 NT AUTHORITY/SY
svchost.exe 932
svchost.exe 960
alg.exe 1128
inetinfo.exe 1160 NT AUTHORITY/SYS
mysqld-nt.exe 1188 NT AUTHORITY/SYS
nvsvc32.exe 1280 NT AUTHORITY/SYS
Explorer.EXE 1728 LIN/lin
ctfmon.exe 212 LIN/lin
WINWORD.EXE 504 LIN/lin
MyIE.exe 924 LIN/lin
dllhost.exe 1348
dllhost.exe 1516 NT AUTHORITY/SYS
msdtc.exe 1856
cmd.exe 1356 LIN/lin
conime.exe 1004 LIN/lin
HprSnap5.exe 1748 LIN/lin
cmd.exe 1548 LIN/lin
pulist.exe 1788 LIN/lin
从上面的情况可以知道,输入MT还没有PSLIST功能的强大,能够列出Name,Pid,Pri,Thd Hnd,Mem,User Time,Kernel Time,Elapsed Time,但是较于PULIST,已经是很好的了,能够列出进程名和运行路径,已经能够满足我们平时的使用了.
六, D:/>mt -pskill
Usage:
mt -pskill <PID|ProcessName>
同样也是PSTOOLS的工具之一了,我们使用MyIE.exe这个软件作为测试,看看他们能不能杀死这个进程,首先是使用MT,通过上面的MT –PSLIST,我们知道MyIE.exe的PID值是924,于是输入:
D:/>mt -pskill 924
Kill process sccuessful!
很快,MYIE就消失了,也就是被KILL了,再使用PSKILL.EXE,我们表示公平统一性,我们还是有PSLIST取得MYIE的PID值,重新打开MYIE,得到它的PID值为220,我们输入:
D:/hack>pskill 220
PsKill v1.03 - local and remote process killer
Copyright (C) 2000 Mark Russinovich
http://www.sysinternals.com
Process 220 killed.
同样也是很快被KILL,说明MT和PSKILL的功能是一样的,使用MT也可以达到和PSKILL一样的效果.
我们发现MT一个比较弱的功能的就是没有和PSKILL一样支持网络功能,在PSKILL中可以通过pskill [/RemoteComputer [-u Username]] <process Id or name>
-u Specifies optional user name for login to
remote computer.
杀死远程的计算机进程,当然,我们不可能指望MT也能有这样强大的功能,毕竟我们用的仅仅才只有40K.
七, D:/>mt -dlllist
Usage:
mt -dlllist <PID|ProcessName>
列出进程中相关的DLL文件,于这个相关功能的软件我没有找到,不过我们使用Windows优化大师,我们先来测试一下,这次我们选中的进程是StyleXPService.exe.还是使用MT –pslist得到其PID值876,输入:
D:/>mt -dlllist 876
C:/Program Files/TGTSoft/StyleXP/StyleXPService.exe
C:/WINDOWS/System32/ntdll.dll
C:/WINDOWS/system32/kernel32.dll
C:/WINDOWS/system32/USER32.dll
C:/WINDOWS/system32/GDI32.dll
C:/WINDOWS/system32/ADVAPI32.dll
C:/WINDOWS/system32/RPCRT4.dll
C:/WINDOWS/system32/ole32.dll
C:/WINDOWS/system32/OLEAUT32.dll
C:/WINDOWS/system32/MSVCRT.DLL
C:/WINDOWS/system32/VERSION.dll
C:/WINDOWS/System32/SETUPAPI.dll
C:/WINDOWS/System32/NETAPI32.dll
C:/WINDOWS/System32/IMM32.DLL
C:/WINDOWS/System32/LPK.DLL
C:/WINDOWS/System32/USP10.dll
C:/WINDOWS/System32/UXTHEME.DLL
C:/WINDOWS/System32/rsaenh.dll
打开Windows优化大师,看看它得到的相关DLL文件是什么?如图:
使用MT得到的DLL相关文件和Windows优化大师的是一摸一样的,我们可以肯定使用MT绝对比使用Windows优化大师方便快捷.
八, mt –sysinfo
列出系统信息,还是使用Windows优化大师与之作比较,发现几乎没有任何的失误,可见准确性特别强的,由于页面的关系,数据不再展示. 这个功能和程序sysinfo.exe是一样的.
九, -shutdown ---Shutdown system.
-reboot ---Reboot system.
-poweroff ---Turn off power.
-logoff ---Logoff current user's session.
这4个命令就不说了,和系统工具shutdown不一样的是,输入之后没有任何的提示,直接关机,我已经试过了,幸亏还记得保存.
十, -chkts ---Check Terminal Service info.
-setupts ---Install Terminal Service.
-remts ---Remove Terminal Service.
-chgtsp ---Reset Terminal Service port.
这4个命令是和Terminal相关的,由于没有安装服务器版本的系统,所以没有测试.
十一, -clog ---Clean system log.
用来清除记录,我们输入:
D:/>mt -clog
Usage:
mt -clog <app|sec|sys|all> ---Clean Application|Security|System|All logs.
从上面的可以看出,我们可以清除 "应用程序" "安全性" "系统"3个日志,我随便选择一个,用MT删除 "应用程序"日志,输入:
D:/>mt -clog app
Clean EventLog : Application successful!
打开事件查看器,如图,
可以看出日志已经被清空,不过MT并不能和小榕的Cleariislog相比,不能删除指定IP的日志,这个可能是yy3并没有考虑将这个工具用作那样的用途.
十二, -enumsrv ---List all services.
列出所有的服务,这个测试可能你的不同,因为我已经删除了很多的服务的了,为了精简系统和提升速度,还是来看看,
D:/>mt -enumsrv
Usage:
mt -enumsrv <SRV|DRV> ----List all Win32|Driver Service
D:/>mt -enumsrv srv
Num ServiceName DisplayName
0 Alerter Alerter
1 ALG Application Layer Gateway Service
2 AppMgmt Application Management
3 aspnet_state ASP.NET State Service
4 AudioSrv Windows Audio
(省略以下大部分的内容)
D:/>mt -enumsrv drv
Num ServiceName DisplayName
0 Abiosdsk Abiosdsk
1 abp480n5 abp480n5
2 ACPI Microsoft ACPI Driver
3 ACPIEC ACPIEC
4 adpu160m adpu160m
5 aec Microsoft Kernel Acoustic Echo Canceller
6 AFD AFD 网络支持环境
7 Aha154x Aha154x
8 aic78u2 aic78u2
(省略以下大部分的内容)
实在是太多了,也不想说什么了,只有一个字----高.
十三, D:/>mt -querysrv
Usage:
mt -querysrv <ServiceName> ----Show detial info of a specifies service.
列出服务的详细信息,我们查看系统进程Alerter的信息,输入:
D:/>mt -querysrv Alerter
ServiceName: Alerter
Status: Stopped
ServiceType: Win32 Share Service
Start type: Demand Start
LogonID: NT AUTHORITY/LocalService
FilePath : C:/WINDOWS/System32/svchost.exe -k LocalService
DisplayName: Alerter
Dependency: LanmanWorkstation
Description: 通知所选用户和计算机有关系统管理级警报。如果服务停止,使用管理警
报的程序将不会受到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。Start type: Demand Start
LogonID: NT AUTHORITY/LocalService
FilePath : C:/WINDOWS/System32/alg.exe
DisplayName: Application Layer Gateway Service
Dependency:
Description: 为 Internet 连接共享和 Internet 连接防火墙提供第三方协议插件的支
持
实在是很清楚了,当然我们也可以使用mmc查看服务的详细信息,如图:
再一次看见这个参数了,上次已经忘记的了.
十四, -instsrv ---Install a service.
-cfgsrv ---Changes the configuration of a service.
-remsrv ---Remove a specified service.
-startsrv ---Start a specified service.
-stopsrv ---Stop a specified service.
这写命令四和服务相关的,放在一起测试了,服务程序选择了冰河的服务端server.exe,我现在要作的是将这个工具作为服务安装,然后改变配置,开始服务,停止服务等,输入:
十五, D:/>mt -netget
Usage:
mt -netget <url> <filename to saved> ---Download from http/ftp.
这个工具很是实用,直到几个月前,还在安全焦点的论坛上面看见有人需要这样的工具,不过那个时候他们提供的是VBS文件,可惜我现在已经找不到那些代码了,在DOS下下载软件的东西,特别的方便.打建IIS服务器,把server.exe文件放置在根目录下面,在DOS下面输入
D:/>mt -netget http://192.168.0.1/server.exe f:/server.exe
Download File from http://192.168.0.1/server.exe to f:/server.exe.
Download completed 272992 bytes ......
Downloaded 266.6KB @266.6KB/S in 0sec.
File <f:/server.exe> TotalByte : 266 KB.
将下载回来的server.exe文件保存在F盘server.exe文件.
十六, D:/>mt -redirect
Usage:
mt -redirect <TargetIP> <TargetPort> <ListenPort> ----TCP port redirector.
这个功能和FPIPE是一样的,实现端口转换,我们这样测试,将192.168.0.1主机的80端口转化为81端口,这样输入:
D:/>mt -redirect 192.168.0.1 80 81
------Waiting Connection-----
然后另外开一个CMD,telnet到192.168.0.1的81端口,看到这样的情况,第一个CMD显示出了连接的信息,
D:/>mt -redirect 192.168.0.1 80 81
------Waiting Connection-----
Accept client==>192.168.0.1:3027
connect to 192.168.0.1 80 success!
Thread 1988 recv 2 bytes.
Thread 1988 send 2 bytes.
Thread 1988 recv 2 bytes.
Thread 1988 send 2 bytes.
Thread 316 recv 224 bytes.
Thread 316 send 224 bytes.
而第二个CMD也显示出了我们需要得到的信息:
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.1
Date: Wed, 19 May 2004 13:28:53 GMT
Content-Type: text/html
Content-Length: 87
<html><head><title>Error</title></head><body>The parameter is incorrect. </body>
</html>
不过这个功能有一点不稳定,也就是说,有时候可以,有时候又不可以,这次的成功也是重新启动以后才出现的,相对于FPIPE,是方便了很多了,置于FPIPE.exe的用法,实在是让我头痛了几天.
17, D:/>mt -clone
Usage:
mt -clone <SourUser> <DestUser>
克隆账号,有点象小榕的cloneuser,测试一下,新建一个用户yun,现在我要将管理员账号lin克隆为账号yun,输入:
D:/hack>mt -clone lin yun
Fail to Open SAM Key, 操作成功完成。
D:/>mt -clone lin yun
Fail to Open SAM Key, 操作成功完成。
可能是不支持XP系统,虽然提示说操作成功,可是事实上,使用yun登陆的时候,还是没有成功,可能也是有其缺陷或者是我自己操作失败吧.
18, D:/>mt -never
-never ---Set account looks like never logged on.
它可以设置使用户看起来从来没有登陆过,在我的系统里面有2个用户,一个是管理员lin,另外一个是公用的帐户316,现在我把316设置为从不登陆的状态.输入
D:/>mt -never 316
Require System Privilege.提示没有权限,于是
D:/>mt -su
打开新的CMD窗口,输入
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:/WINDOWS/system32>d:
D:/>mt -never 316
Fail to Set F Value.
D:/>net user 316
用户名 316
全名 316
注释
用户的注释
国家(地区)代码 000 (系统默认值)
帐户启用 Yes
帐户到期 从不
上次设置密码 2004/5/19 下午 08:22
密码到期 从不
密码可更改 2004/5/19 下午 08:22
需要密码 Yes
用户可以更改密码 Yes
允许的工作站 All
登录脚本
用户配置文件
主目录
上次登录 从不
可允许的登录小时数 All
本地组成员 *Users
全局组成员 *None
命令成功完成。
D:/>
可以看出来已经修改成功了,虽然显示的是Fail to Set F Value.,但还是成功了.这个功能和never.exe是一样的,只是将特定的的帐户上回登陆时间改为帐户从来没有登陆上过系统.
成功条件:你要有local system权限
18, -killuser ---Del account. Even "guest" account.
删除用户,输入D:/>mt -killuser ziqi
Kill User: ziqi Success!
这个功能有一点问题,输入提示已经删除了,可是然后事实上,这个用户并没有删除,我们输入
D:/>net user
/LIN 的用户帐户
-------------------------------------------------------------------------------
316 Administrator ASPNET
Guest HelpAssistant IUSR_IMAGE
IWAM_IMAGE lin SUPPORT_388945a0
ziqi
命令成功完成。
还是能够看见ziqi的账号,打开控制面板,用户账号,还是能看见这个用户的身影:
但是如果我们以下面这种方式登陆,也就是先运行MT –su得到系统最高权限,在这个CMD下,我们就可以删除账号了,同时也可以删除GUEST用户,虽然我还没有激活这个账号,不知道是什么原因,因为我本身登陆的就已经是administrator组了.删除GUEST的过程:
D:/>mt -killuser guest
Kill User: guest Success!
D:/>net user
/ 的用户帐户
-------------------------------------------------------------------------------
316 Administrator ASPNET
HelpAssistant IUSR_IMAGE IWAM_IMAGE
lin SUPPORT_388945a0 yun
命令运行完毕,但发生一个或多个错误。
19, -su ---Run process as Local_System privilege.
以系统特权运行进程,在管理员登陆的情况下输入MT –su,马上弹出另外一CMD窗口,在这个窗口中,可以做任何我们想做的事情,这个也是系统的最高权限了.
20 -regshell ---Enter a console registry editor.
以CMD的方式编辑注册表,输入在CMD下不是很方便,不过有时候也是很使用的,输入:
D:/>mt -regshell
HKLM/>dir
<SubKey> HARDWARE
<SubKey> SAM
<SubKey> SECURITY
<SubKey> SOFTWARE
<SubKey> SYSTEM
Total: 5 SubKey, 0 Value.
HKLM/>quitreg
D:/>
和真实环境没有什么区别.
21, -netstat ---List TCP connections.
列出所有的TCP连接,我让192.168.0.2打开IE,访问192.168.0.1的主页,然后输入:
D:/>mt -netstat
Num LocalIP Port RemoteIP PORT Status
11 192.168.0.1 80 192.168.0.2 1050 Established
如果使用的是系统自带的netstat,得到的结果是一样的:
D:/>netstat
Active Connections
Proto Local Address Foreign Address State
TCP LIN:http 192.168.0.2:1050 ESTABLISHED
只是使用MT能够更直接,更容易理解,比如使用端口80代替使用协议HTTP.
22, D:/>mt -killtcp
Usage:
mt -killtcp <ConnectionNum> ----Kill a specifies TCP connection.
和上面的搭配用,如果先KILL192.168.0.2对本机(192.168.0.1)的连接,可以输入:
D:/>mt -killtcp 11
Waiting connection to be close now.
这个时候再输入:
D:/>mt -netstat
Num LocalIP Port RemoteIP PORT Status
D:/>
已经看不到有它的连接了.
23, -chkdll ---Detect gina dll backdoor.
检查gina木马后门,这个问题以前是很流行了,所以也被考虑进来了,使用很简单:
D:/>mt -chkdll
GinaDll not found.
Winlogon Notification Package Dll:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/crypt32chain
crypt32.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/cryptnet
cryptnet.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/cscdll
cscdll.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/ScCertProp
wlnotify.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/Schedule
wlnotify.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/sclgntfy
sclgntfy.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/SensLogn
WlNotify.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/termsrv
wlnotify.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/wlballoon
wlnotify.dll
Please make sure if they were backdoors.
如果我安装了GINA木马,会出现这样的情况:
D:/>mt -chkdll
GinaDll exist:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDll
c:/windows/system32/ntshellgina.dll
很快就被检测出来了,实在是很方便,呵呵,其实我那个DLL文件早就被KILL了,只是修改了一下注册表而已,不过也显示了这个工具的强大性.
24, -psport ---Map ports to processes.
显示进程的端口,这个功能和哪个工具的功能一样的呢,呵呵,忘记了,对了是FPORT.EXE,呵呵,很久没有用了,还是来看看他们有什么不同的地方:
D:/>mt -psport
Proto Listen PID Path
TCP 0.0.0.0:80 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
TCP 0.0.0.0:135 780 C:/WINDOWS/system32/svchost.exe
TCP 0.0.0.0:443 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
TCP 0.0.0.0:1025 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
TCP 0.0.0.0:1026 4 [System]
TCP 0.0.0.0:3025 960 C:/WINDOWS/System32/svchost.exe
TCP 0.0.0.0:3027 1252 C:/WINDOWS/System32/msdtc.exe
TCP 0.0.0.0:3306 1176 D:/mysql/bin/mysqld-nt.exe
TCP 127.0.0.1:3001 1120 C:/WINDOWS/System32/alg.exe
TCP 127.0.0.1:3002 844 C:/WINDOWS/System32/svchost.exe
TCP 127.0.0.1:3003 844 C:/WINDOWS/System32/svchost.exe
TCP 192.168.0.1:139 4 [System]
TCP 192.168.0.1:3011 4 [System]
UDP 0.0.0.0:500 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
UDP 0.0.0.0:3456 780 C:/WINDOWS/system32/svchost.exe
UDP 127.0.0.1:3020 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
UDP 127.0.0.1:3026 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
UDP 192.168.0.1:137 4 [System]
UDP 192.168.0.1:138 960 C:/WINDOWS/System32/svchost.exe
使用FPORT.EXE得到下面的结果
E:/HACK>fport /ap
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
1120 -> 3001 TCP
960 -> 3025 TCP
1252 -> 3027 TCP
4 System -> 1026 TCP
4 System -> 139 TCP
4 System -> 3011 TCP
1160 inetinfo -> 1025 TCP C:/WINDOWS/System32/inetsrv/inetinfo.exe
1160 inetinfo -> 443 TCP C:/WINDOWS/System32/inetsrv/inetinfo.exe
1160 inetinfo -> 80 TCP C:/WINDOWS/System32/inetsrv/inetinfo.exe
844 svchost -> 3002 TCP C:/WINDOWS/System32/svchost.exe
844 svchost -> 3003 TCP C:/WINDOWS/System32/svchost.exe
780 svchost -> 135 TCP C:/WINDOWS/system32/svchost.exe
1176 mysqld-nt -> 3306 TCP D:/mysql/bin/mysqld-nt.exe
960 -> 138 UDP
4 System -> 137 UDP
1160 inetinfo -> 3020 UDP C:/WINDOWS/System32/inetsrv/inetinfo.exe
1160 inetinfo -> 3026 UDP C:/WINDOWS/System32/inetsrv/inetinfo.exe
1160 inetinfo -> 500 UDP C:/WINDOWS/System32/inetsrv/inetinfo.exe
780 svchost -> 3456 UDP C:/WINDOWS/system32/svchost.exe
基本上差不多了,不过感觉好像FPORT更加强大一点,因为我现在在FPORT中用了参数,为了使2个更容易对比一些.
这里还有一个比较好的软件,使GUI的,抓图下来如下:
24, -touch ---Set the file times for a specified file.
查看文件修改时间,下载或者COPY,转移会改变文件的最后修改时间,而使用这个命令可以查看文件的最后修改时间,举个例子,我们现在看到的文件mt.exe,如图,
而事实上,我们使用下面的命令:
D:/>mt -touch mt1.exe
Set FileTime Successful.
CreationTime : 07/10/2002
LastAccessTime : 19/05/2004
LastWriteTime : 07/10/2002
可以知道其创建时间不使2004年5月19日,而是CreationTime : 07/10/2002,相信这个也就使yy3写这个程序的时间了.与这个相关的软件有偷touch.exe,可以我电脑里面的这个文件已经本病毒破坏了。
25, -chkuser ---List all account、sid and anti clone.
这个功能,测试不了,虽然说使列出所有的用户,SID和反克隆设置,但是,一旦输入,就有错误发生
26, -findpass ---Show all logged on user's pass.
得到所有登陆用户的密码,由于这个命令是For NT/2K only.,所以我在客户机上面测试这个功能,输入,很容易就得到了密码:
G:/WINNT/system32>mt -findpass
mt -findpass
The logon information :
Domain : 316-2AS8L1B1FL5
Username : Administrator
Password : winyaj
G:/WINNT/system32>
这个比findpass.exe还方便一些,不需要知道用户进程的PID值.
后记:MT确实是一个很不错的工具,它能够让我们很容易的做很多事情,而不用到处去找相关的软件,
测试环境:
主机192.168.0.1,操作系统Windows XP SP1专业版(由于系统经过自己的优化,删除了很多的功能,所以在测试的时候可能有不正确的地方)
客户机192.168.0.2,操作系统Windows 2000专业版本,对方是不怎么懂电脑的人,这个系统也已经用了1年多了,不过还是没有问题的)
网络环境:网卡,8029-8139,双机互连.
MT.EXE是一个网络管理方面的软件,依照yy3的说法,也就是 "七拼八凑来的,纯粹是图个方便。"可是这个方便个真的是太方便了,有了这40K的一个程序,可以删除我们电脑里面多达几M的程序,让我们先来看看这个程序的真面目吧:
D:/>mt.exe
Usage: mt.exe <Opintion>
Opintion :
-filter ---Change TCP/IP filter to on/off status.
-addport ---Add ports to the filter' allowed portlist.
-setport ---Set ports as the filter' allowed portlist.
-nicinfo ---List TCP/IP interface info.
-pslist ---List active processes.
-pskill ---Kill a specified process.
-dlllist ---List dlls of a specified process.
-sysinfo ---List system info.
-shutdown ---Shutdown system.
-reboot ---Reboot system.
-poweroff ---Turn off power.
-logoff ---Logoff current user's session.
-chkts ---Check Terminal Service info.
-setupts ---Install Terminal Service.
-remts ---Remove Terminal Service.
-chgtsp ---Reset Terminal Service port.
-clog ---Clean system log.
-enumsrv ---List all services.
-querysrv ---List detail info of a specified service.
-instsrv ---Install a service.
-cfgsrv ---Changes the configuration of a service.
-remsrv ---Remove a specified service.
-startsrv ---Start a specified service.
-stopsrv ---Stop a specified service.
-netget ---Download from http/ftp.
-redirect ---Port redirect.
-chkuser ---List all account、sid and anti clone.
-clone ---Clone from admin to dest.
-never ---Set account looks like never logged on.
-killuser ---Del account. Even "guest" account.
-su ---Run process as Local_System privilege.
-findpass ---Show all logged on user's pass.
-netstat ---List TCP connections.
-killtcp ---Kill TCP connection.
-psport ---Map ports to processes.
-touch ---Set the file times for a specified file.
-secdel ---Secure delete files and directory or zap free
pace.
-regshell ---Enter a console registry editor.
-chkdll ---Detect gina dll backdoor.
大家可以看见的是,.他的功能一共有34项,包含我们我们平时使用的大部分软件.下面我就来一项一项的测试,条件和能力有限,希望大家能够指出其中的不足.
一,MT.EXE –filter
Usage:
MT -filter <ON|OFF> ----Enabld|Disable TCP/IP Filter.
从上面的说明可以知道,这个是打开关闭TCP/IP筛选的,我们先来试一下,输入命令:
D:/>MT -FILTER on
Enable TCP/IP Filter successful!
这个时候我们看看试不试打开了TCP/IP筛选,打开网络连接选项,右键本地连接---Internet协议(TCP/IP)属性----高级---选项----TCP/IP筛选-----属性,我们看到的这样的情况,如图:
可以看见,我们已经启用了这个TCP/IP筛选,再次输入命令:
D:/>MT -FILTER off
Disable TCP/IP Filter successful!
查看属性:
有了这个工具,我们就不必那样的麻烦的点击鼠标了,一切都很简单.
二, D:/>mt -addport
Usage:
mt -addport <TCP|UDP> NIC PortList ----Add ports to the allowed portlist.
Use "-nicinfo" get Nic number first.
从说明上面看,是增加端口列表中允许通讯的端口,还是和上面的一样,我们来看看这个功能是如何的强大:
五, -pslist ---List active processes.
列出活动进程,经常用PSTOOLS的很熟悉这个功能了,在这里,我将这个工具和pstools的工具相比较,看看他们的功能怎么样?
D:/>mt -pslist
PID Path
0 [Idle Process]
4 l[System]
464 /SystemRoot/System32/smss.exe
524 /??/C:/WINDOWS/system32/csrss.exe
548 /??/C:/WINDOWS/system32/winlogon.exe
592 C:/WINDOWS/system32/services.exe
604 C:/WINDOWS/system32/lsass.exe
780 C:/WINDOWS/system32/svchost.exe
844 C:/WINDOWS/System32/svchost.exe
876 C:/Program Files/TGTSoft/StyleXP/StyleXPService.exe
932 C:/WINDOWS/System32/svchost.exe
960 C:/WINDOWS/System32/svchost.exe
1128 C:/WINDOWS/System32/alg.exe
1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
1188 D:/mysql/bin/mysqld-nt.exe
1280 C:/WINDOWS/System32/nvsvc32.exe
1728 C:/WINDOWS/Explorer.EXE
212 C:/WINDOWS/System32/ctfmon.exe
504 D:/Program Files/Microsoft Office/Office10/WINWORD.EXE
924 D:/Program Files/MYIE2/myie.exe
1348 C:/WINDOWS/System32/dllhost.exe
1516 C:/WINDOWS/System32/dllhost.exe
1856 C:/WINDOWS/System32/msdtc.exe
1356 C:/WINDOWS/System32/cmd.exe
1004 C:/WINDOWS/System32/conime.exe
1748 D:/Program Files/HyperSnap-DX 5/HprSnap5.exe
1272 D:/MT.exe
我们使用PSLIST得到的结果:
D:/hack>pslist
PsList v1.12 - Process Information Lister
Copyright (C) 1999-2000 Mark Russinovich
Systems Internals - http://www.sysinternals.com
Process information for LIN:
Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time
Idle 0 0 1 0 20 0:00:00.000 0:40:22.453 0:00:00.000
System 4 8 56 258 40 0:00:00.000 0:00:06.098 0:00:00.000
smss 464 11 3 21 44 0:00:00.010 0:00:00.100 0:43:10.565
csrss 524 13 11 416 3892 0:00:02.042 0:00:14.240 0:43:06.449
winlogon 548 13 19 443 1044 0:00:01.171 0:00:01.882 0:43:04.185
services 592 9 21 307 940 0:00:00.721 0:00:01.662 0:43:01.582
lsass 604 9 19 304 1132 0:00:00.540 0:00:00.690 0:43:01.532
svchost 780 8 8 255 824 0:00:00.200 0:00:00.160 0:42:58.687
svchost 844 8 55 1214 5740 0:00:02.393 0:00:01.932 0:42:58.457
StyleXPSer 876 8 2 38 416 0:00:00.110 0:00:00.070 0:42:58.357
svchost 932 8 5 46 396 0:00:00.020 0:00:00.040 0:42:56.705
svchost 960 8 7 90 204 0:00:00.060 0:00:00.040 0:42:56.244
alg 1128 8 5 116 220 0:00:00.020 0:00:00.060 0:42:49.144
inetinfo 1160 8 17 281 864 0:00:00.210 0:00:00.330 0:42:49.054
mysqld-nt 1188 8 6 81 76 0:00:00.010 0:00:00.050 0:42:47.602
nvsvc32 1280 8 3 74 92 0:00:00.090 0:00:00.160 0:42:45.378
Explorer 1728 8 20 583 19548 0:00:11.436 0:00:27.519 0:42:37.607
ctfmon 212 8 1 109 1596 0:00:00.340 0:00:01.031 0:42:26.982
WINWORD 504 8 5 394 43428 0:01:04.072 0:00:25.757 0:41:26.194
myie 924 8 9 312 3116 0:00:09.623 0:00:07.460 0:35:36.582
dllhost 1348 8 23 240 1540 0:00:01.982 0:00:00.460 0:35:24.414
dllhost 1516 8 15 200 784 0:00:00.190 0:00:00.230 0:35:22.912
msdtc 1856 8 18 149 372 0:00:00.080 0:00:00.090 0:35:18.896
cmd 1356 8 1 21 592 0:00:00.080 0:00:00.100 0:32:44.414
conime 1004 8 1 25 664 0:00:00.050 0:00:00.030 0:32:42.652
HprSnap5 1748 8 6 168 1648 0:00:01.932 0:00:03.414 0:18:38.798
cmd 1548 8 1 20 1392 0:00:00.020 0:00:00.010 0:00:28.020
pslist 1716 8 2 82 1672 0:00:00.030 0:00:00.050 0:00:00.400
使用PULIST得到的结果:
E:/HACK>pulist
Process PID User
Idle 0
System 4
smss.exe 464 NT AUTHORITY/SYS
csrss.exe 524 NT AUTHORITY/SYS
winlogon.exe 548 NT AUTHORITY/SYS
services.exe 592 NT AUTHORITY/SYS
lsass.exe 604 NT AUTHORITY/SYS
svchost.exe 780 NT AUTHORITY/SYS
svchost.exe 844 NT AUTHORITY/SYS
StyleXPService.exe 876 NT AUTHORITY/SY
svchost.exe 932
svchost.exe 960
alg.exe 1128
inetinfo.exe 1160 NT AUTHORITY/SYS
mysqld-nt.exe 1188 NT AUTHORITY/SYS
nvsvc32.exe 1280 NT AUTHORITY/SYS
Explorer.EXE 1728 LIN/lin
ctfmon.exe 212 LIN/lin
WINWORD.EXE 504 LIN/lin
MyIE.exe 924 LIN/lin
dllhost.exe 1348
dllhost.exe 1516 NT AUTHORITY/SYS
msdtc.exe 1856
cmd.exe 1356 LIN/lin
conime.exe 1004 LIN/lin
HprSnap5.exe 1748 LIN/lin
cmd.exe 1548 LIN/lin
pulist.exe 1788 LIN/lin
从上面的情况可以知道,输入MT还没有PSLIST功能的强大,能够列出Name,Pid,Pri,Thd Hnd,Mem,User Time,Kernel Time,Elapsed Time,但是较于PULIST,已经是很好的了,能够列出进程名和运行路径,已经能够满足我们平时的使用了.
六, D:/>mt -pskill
Usage:
mt -pskill <PID|ProcessName>
同样也是PSTOOLS的工具之一了,我们使用MyIE.exe这个软件作为测试,看看他们能不能杀死这个进程,首先是使用MT,通过上面的MT –PSLIST,我们知道MyIE.exe的PID值是924,于是输入:
D:/>mt -pskill 924
Kill process sccuessful!
很快,MYIE就消失了,也就是被KILL了,再使用PSKILL.EXE,我们表示公平统一性,我们还是有PSLIST取得MYIE的PID值,重新打开MYIE,得到它的PID值为220,我们输入:
D:/hack>pskill 220
PsKill v1.03 - local and remote process killer
Copyright (C) 2000 Mark Russinovich
http://www.sysinternals.com
Process 220 killed.
同样也是很快被KILL,说明MT和PSKILL的功能是一样的,使用MT也可以达到和PSKILL一样的效果.
我们发现MT一个比较弱的功能的就是没有和PSKILL一样支持网络功能,在PSKILL中可以通过pskill [/RemoteComputer [-u Username]] <process Id or name>
-u Specifies optional user name for login to
remote computer.
杀死远程的计算机进程,当然,我们不可能指望MT也能有这样强大的功能,毕竟我们用的仅仅才只有40K.
七, D:/>mt -dlllist
Usage:
mt -dlllist <PID|ProcessName>
列出进程中相关的DLL文件,于这个相关功能的软件我没有找到,不过我们使用Windows优化大师,我们先来测试一下,这次我们选中的进程是StyleXPService.exe.还是使用MT –pslist得到其PID值876,输入:
D:/>mt -dlllist 876
C:/Program Files/TGTSoft/StyleXP/StyleXPService.exe
C:/WINDOWS/System32/ntdll.dll
C:/WINDOWS/system32/kernel32.dll
C:/WINDOWS/system32/USER32.dll
C:/WINDOWS/system32/GDI32.dll
C:/WINDOWS/system32/ADVAPI32.dll
C:/WINDOWS/system32/RPCRT4.dll
C:/WINDOWS/system32/ole32.dll
C:/WINDOWS/system32/OLEAUT32.dll
C:/WINDOWS/system32/MSVCRT.DLL
C:/WINDOWS/system32/VERSION.dll
C:/WINDOWS/System32/SETUPAPI.dll
C:/WINDOWS/System32/NETAPI32.dll
C:/WINDOWS/System32/IMM32.DLL
C:/WINDOWS/System32/LPK.DLL
C:/WINDOWS/System32/USP10.dll
C:/WINDOWS/System32/UXTHEME.DLL
C:/WINDOWS/System32/rsaenh.dll
打开Windows优化大师,看看它得到的相关DLL文件是什么?如图:
使用MT得到的DLL相关文件和Windows优化大师的是一摸一样的,我们可以肯定使用MT绝对比使用Windows优化大师方便快捷.
八, mt –sysinfo
列出系统信息,还是使用Windows优化大师与之作比较,发现几乎没有任何的失误,可见准确性特别强的,由于页面的关系,数据不再展示. 这个功能和程序sysinfo.exe是一样的.
九, -shutdown ---Shutdown system.
-reboot ---Reboot system.
-poweroff ---Turn off power.
-logoff ---Logoff current user's session.
这4个命令就不说了,和系统工具shutdown不一样的是,输入之后没有任何的提示,直接关机,我已经试过了,幸亏还记得保存.
十, -chkts ---Check Terminal Service info.
-setupts ---Install Terminal Service.
-remts ---Remove Terminal Service.
-chgtsp ---Reset Terminal Service port.
这4个命令是和Terminal相关的,由于没有安装服务器版本的系统,所以没有测试.
十一, -clog ---Clean system log.
用来清除记录,我们输入:
D:/>mt -clog
Usage:
mt -clog <app|sec|sys|all> ---Clean Application|Security|System|All logs.
从上面的可以看出,我们可以清除 "应用程序" "安全性" "系统"3个日志,我随便选择一个,用MT删除 "应用程序"日志,输入:
D:/>mt -clog app
Clean EventLog : Application successful!
打开事件查看器,如图,
可以看出日志已经被清空,不过MT并不能和小榕的Cleariislog相比,不能删除指定IP的日志,这个可能是yy3并没有考虑将这个工具用作那样的用途.
十二, -enumsrv ---List all services.
列出所有的服务,这个测试可能你的不同,因为我已经删除了很多的服务的了,为了精简系统和提升速度,还是来看看,
D:/>mt -enumsrv
Usage:
mt -enumsrv <SRV|DRV> ----List all Win32|Driver Service
D:/>mt -enumsrv srv
Num ServiceName DisplayName
0 Alerter Alerter
1 ALG Application Layer Gateway Service
2 AppMgmt Application Management
3 aspnet_state ASP.NET State Service
4 AudioSrv Windows Audio
(省略以下大部分的内容)
D:/>mt -enumsrv drv
Num ServiceName DisplayName
0 Abiosdsk Abiosdsk
1 abp480n5 abp480n5
2 ACPI Microsoft ACPI Driver
3 ACPIEC ACPIEC
4 adpu160m adpu160m
5 aec Microsoft Kernel Acoustic Echo Canceller
6 AFD AFD 网络支持环境
7 Aha154x Aha154x
8 aic78u2 aic78u2
(省略以下大部分的内容)
实在是太多了,也不想说什么了,只有一个字----高.
十三, D:/>mt -querysrv
Usage:
mt -querysrv <ServiceName> ----Show detial info of a specifies service.
列出服务的详细信息,我们查看系统进程Alerter的信息,输入:
D:/>mt -querysrv Alerter
ServiceName: Alerter
Status: Stopped
ServiceType: Win32 Share Service
Start type: Demand Start
LogonID: NT AUTHORITY/LocalService
FilePath : C:/WINDOWS/System32/svchost.exe -k LocalService
DisplayName: Alerter
Dependency: LanmanWorkstation
Description: 通知所选用户和计算机有关系统管理级警报。如果服务停止,使用管理警
报的程序将不会受到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。Start type: Demand Start
LogonID: NT AUTHORITY/LocalService
FilePath : C:/WINDOWS/System32/alg.exe
DisplayName: Application Layer Gateway Service
Dependency:
Description: 为 Internet 连接共享和 Internet 连接防火墙提供第三方协议插件的支
持
实在是很清楚了,当然我们也可以使用mmc查看服务的详细信息,如图:
再一次看见这个参数了,上次已经忘记的了.
十四, -instsrv ---Install a service.
-cfgsrv ---Changes the configuration of a service.
-remsrv ---Remove a specified service.
-startsrv ---Start a specified service.
-stopsrv ---Stop a specified service.
这写命令四和服务相关的,放在一起测试了,服务程序选择了冰河的服务端server.exe,我现在要作的是将这个工具作为服务安装,然后改变配置,开始服务,停止服务等,输入:
十五, D:/>mt -netget
Usage:
mt -netget <url> <filename to saved> ---Download from http/ftp.
这个工具很是实用,直到几个月前,还在安全焦点的论坛上面看见有人需要这样的工具,不过那个时候他们提供的是VBS文件,可惜我现在已经找不到那些代码了,在DOS下下载软件的东西,特别的方便.打建IIS服务器,把server.exe文件放置在根目录下面,在DOS下面输入
D:/>mt -netget http://192.168.0.1/server.exe f:/server.exe
Download File from http://192.168.0.1/server.exe to f:/server.exe.
Download completed 272992 bytes ......
Downloaded 266.6KB @266.6KB/S in 0sec.
File <f:/server.exe> TotalByte : 266 KB.
将下载回来的server.exe文件保存在F盘server.exe文件.
十六, D:/>mt -redirect
Usage:
mt -redirect <TargetIP> <TargetPort> <ListenPort> ----TCP port redirector.
这个功能和FPIPE是一样的,实现端口转换,我们这样测试,将192.168.0.1主机的80端口转化为81端口,这样输入:
D:/>mt -redirect 192.168.0.1 80 81
------Waiting Connection-----
然后另外开一个CMD,telnet到192.168.0.1的81端口,看到这样的情况,第一个CMD显示出了连接的信息,
D:/>mt -redirect 192.168.0.1 80 81
------Waiting Connection-----
Accept client==>192.168.0.1:3027
connect to 192.168.0.1 80 success!
Thread 1988 recv 2 bytes.
Thread 1988 send 2 bytes.
Thread 1988 recv 2 bytes.
Thread 1988 send 2 bytes.
Thread 316 recv 224 bytes.
Thread 316 send 224 bytes.
而第二个CMD也显示出了我们需要得到的信息:
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.1
Date: Wed, 19 May 2004 13:28:53 GMT
Content-Type: text/html
Content-Length: 87
<html><head><title>Error</title></head><body>The parameter is incorrect. </body>
</html>
不过这个功能有一点不稳定,也就是说,有时候可以,有时候又不可以,这次的成功也是重新启动以后才出现的,相对于FPIPE,是方便了很多了,置于FPIPE.exe的用法,实在是让我头痛了几天.
17, D:/>mt -clone
Usage:
mt -clone <SourUser> <DestUser>
克隆账号,有点象小榕的cloneuser,测试一下,新建一个用户yun,现在我要将管理员账号lin克隆为账号yun,输入:
D:/hack>mt -clone lin yun
Fail to Open SAM Key, 操作成功完成。
D:/>mt -clone lin yun
Fail to Open SAM Key, 操作成功完成。
可能是不支持XP系统,虽然提示说操作成功,可是事实上,使用yun登陆的时候,还是没有成功,可能也是有其缺陷或者是我自己操作失败吧.
18, D:/>mt -never
-never ---Set account looks like never logged on.
它可以设置使用户看起来从来没有登陆过,在我的系统里面有2个用户,一个是管理员lin,另外一个是公用的帐户316,现在我把316设置为从不登陆的状态.输入
D:/>mt -never 316
Require System Privilege.提示没有权限,于是
D:/>mt -su
打开新的CMD窗口,输入
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:/WINDOWS/system32>d:
D:/>mt -never 316
Fail to Set F Value.
D:/>net user 316
用户名 316
全名 316
注释
用户的注释
国家(地区)代码 000 (系统默认值)
帐户启用 Yes
帐户到期 从不
上次设置密码 2004/5/19 下午 08:22
密码到期 从不
密码可更改 2004/5/19 下午 08:22
需要密码 Yes
用户可以更改密码 Yes
允许的工作站 All
登录脚本
用户配置文件
主目录
上次登录 从不
可允许的登录小时数 All
本地组成员 *Users
全局组成员 *None
命令成功完成。
D:/>
可以看出来已经修改成功了,虽然显示的是Fail to Set F Value.,但还是成功了.这个功能和never.exe是一样的,只是将特定的的帐户上回登陆时间改为帐户从来没有登陆上过系统.
成功条件:你要有local system权限
18, -killuser ---Del account. Even "guest" account.
删除用户,输入D:/>mt -killuser ziqi
Kill User: ziqi Success!
这个功能有一点问题,输入提示已经删除了,可是然后事实上,这个用户并没有删除,我们输入
D:/>net user
/LIN 的用户帐户
-------------------------------------------------------------------------------
316 Administrator ASPNET
Guest HelpAssistant IUSR_IMAGE
IWAM_IMAGE lin SUPPORT_388945a0
ziqi
命令成功完成。
还是能够看见ziqi的账号,打开控制面板,用户账号,还是能看见这个用户的身影:
但是如果我们以下面这种方式登陆,也就是先运行MT –su得到系统最高权限,在这个CMD下,我们就可以删除账号了,同时也可以删除GUEST用户,虽然我还没有激活这个账号,不知道是什么原因,因为我本身登陆的就已经是administrator组了.删除GUEST的过程:
D:/>mt -killuser guest
Kill User: guest Success!
D:/>net user
/ 的用户帐户
-------------------------------------------------------------------------------
316 Administrator ASPNET
HelpAssistant IUSR_IMAGE IWAM_IMAGE
lin SUPPORT_388945a0 yun
命令运行完毕,但发生一个或多个错误。
19, -su ---Run process as Local_System privilege.
以系统特权运行进程,在管理员登陆的情况下输入MT –su,马上弹出另外一CMD窗口,在这个窗口中,可以做任何我们想做的事情,这个也是系统的最高权限了.
20 -regshell ---Enter a console registry editor.
以CMD的方式编辑注册表,输入在CMD下不是很方便,不过有时候也是很使用的,输入:
D:/>mt -regshell
HKLM/>dir
<SubKey> HARDWARE
<SubKey> SAM
<SubKey> SECURITY
<SubKey> SOFTWARE
<SubKey> SYSTEM
Total: 5 SubKey, 0 Value.
HKLM/>quitreg
D:/>
和真实环境没有什么区别.
21, -netstat ---List TCP connections.
列出所有的TCP连接,我让192.168.0.2打开IE,访问192.168.0.1的主页,然后输入:
D:/>mt -netstat
Num LocalIP Port RemoteIP PORT Status
11 192.168.0.1 80 192.168.0.2 1050 Established
如果使用的是系统自带的netstat,得到的结果是一样的:
D:/>netstat
Active Connections
Proto Local Address Foreign Address State
TCP LIN:http 192.168.0.2:1050 ESTABLISHED
只是使用MT能够更直接,更容易理解,比如使用端口80代替使用协议HTTP.
22, D:/>mt -killtcp
Usage:
mt -killtcp <ConnectionNum> ----Kill a specifies TCP connection.
和上面的搭配用,如果先KILL192.168.0.2对本机(192.168.0.1)的连接,可以输入:
D:/>mt -killtcp 11
Waiting connection to be close now.
这个时候再输入:
D:/>mt -netstat
Num LocalIP Port RemoteIP PORT Status
D:/>
已经看不到有它的连接了.
23, -chkdll ---Detect gina dll backdoor.
检查gina木马后门,这个问题以前是很流行了,所以也被考虑进来了,使用很简单:
D:/>mt -chkdll
GinaDll not found.
Winlogon Notification Package Dll:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/crypt32chain
crypt32.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/cryptnet
cryptnet.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/cscdll
cscdll.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/ScCertProp
wlnotify.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/Schedule
wlnotify.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/sclgntfy
sclgntfy.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/SensLogn
WlNotify.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/termsrv
wlnotify.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/wlballoon
wlnotify.dll
Please make sure if they were backdoors.
如果我安装了GINA木马,会出现这样的情况:
D:/>mt -chkdll
GinaDll exist:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDll
c:/windows/system32/ntshellgina.dll
很快就被检测出来了,实在是很方便,呵呵,其实我那个DLL文件早就被KILL了,只是修改了一下注册表而已,不过也显示了这个工具的强大性.
24, -psport ---Map ports to processes.
显示进程的端口,这个功能和哪个工具的功能一样的呢,呵呵,忘记了,对了是FPORT.EXE,呵呵,很久没有用了,还是来看看他们有什么不同的地方:
D:/>mt -psport
Proto Listen PID Path
TCP 0.0.0.0:80 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
TCP 0.0.0.0:135 780 C:/WINDOWS/system32/svchost.exe
TCP 0.0.0.0:443 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
TCP 0.0.0.0:1025 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
TCP 0.0.0.0:1026 4 [System]
TCP 0.0.0.0:3025 960 C:/WINDOWS/System32/svchost.exe
TCP 0.0.0.0:3027 1252 C:/WINDOWS/System32/msdtc.exe
TCP 0.0.0.0:3306 1176 D:/mysql/bin/mysqld-nt.exe
TCP 127.0.0.1:3001 1120 C:/WINDOWS/System32/alg.exe
TCP 127.0.0.1:3002 844 C:/WINDOWS/System32/svchost.exe
TCP 127.0.0.1:3003 844 C:/WINDOWS/System32/svchost.exe
TCP 192.168.0.1:139 4 [System]
TCP 192.168.0.1:3011 4 [System]
UDP 0.0.0.0:500 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
UDP 0.0.0.0:3456 780 C:/WINDOWS/system32/svchost.exe
UDP 127.0.0.1:3020 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
UDP 127.0.0.1:3026 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
UDP 192.168.0.1:137 4 [System]
UDP 192.168.0.1:138 960 C:/WINDOWS/System32/svchost.exe
使用FPORT.EXE得到下面的结果
E:/HACK>fport /ap
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
1120 -> 3001 TCP
960 -> 3025 TCP
1252 -> 3027 TCP
4 System -> 1026 TCP
4 System -> 139 TCP
4 System -> 3011 TCP
1160 inetinfo -> 1025 TCP C:/WINDOWS/System32/inetsrv/inetinfo.exe
1160 inetinfo -> 443 TCP C:/WINDOWS/System32/inetsrv/inetinfo.exe
1160 inetinfo -> 80 TCP C:/WINDOWS/System32/inetsrv/inetinfo.exe
844 svchost -> 3002 TCP C:/WINDOWS/System32/svchost.exe
844 svchost -> 3003 TCP C:/WINDOWS/System32/svchost.exe
780 svchost -> 135 TCP C:/WINDOWS/system32/svchost.exe
1176 mysqld-nt -> 3306 TCP D:/mysql/bin/mysqld-nt.exe
960 -> 138 UDP
4 System -> 137 UDP
1160 inetinfo -> 3020 UDP C:/WINDOWS/System32/inetsrv/inetinfo.exe
1160 inetinfo -> 3026 UDP C:/WINDOWS/System32/inetsrv/inetinfo.exe
1160 inetinfo -> 500 UDP C:/WINDOWS/System32/inetsrv/inetinfo.exe
780 svchost -> 3456 UDP C:/WINDOWS/system32/svchost.exe
基本上差不多了,不过感觉好像FPORT更加强大一点,因为我现在在FPORT中用了参数,为了使2个更容易对比一些.
这里还有一个比较好的软件,使GUI的,抓图下来如下:
24, -touch ---Set the file times for a specified file.
查看文件修改时间,下载或者COPY,转移会改变文件的最后修改时间,而使用这个命令可以查看文件的最后修改时间,举个例子,我们现在看到的文件mt.exe,如图,
而事实上,我们使用下面的命令:
D:/>mt -touch mt1.exe
Set FileTime Successful.
CreationTime : 07/10/2002
LastAccessTime : 19/05/2004
LastWriteTime : 07/10/2002
可以知道其创建时间不使2004年5月19日,而是CreationTime : 07/10/2002,相信这个也就使yy3写这个程序的时间了.与这个相关的软件有偷touch.exe,可以我电脑里面的这个文件已经本病毒破坏了。
25, -chkuser ---List all account、sid and anti clone.
这个功能,测试不了,虽然说使列出所有的用户,SID和反克隆设置,但是,一旦输入,就有错误发生
26, -findpass ---Show all logged on user's pass.
得到所有登陆用户的密码,由于这个命令是For NT/2K only.,所以我在客户机上面测试这个功能,输入,很容易就得到了密码:
G:/WINNT/system32>mt -findpass
mt -findpass
The logon information :
Domain : 316-2AS8L1B1FL5
Username : Administrator
Password : winyaj
G:/WINNT/system32>
这个比findpass.exe还方便一些,不需要知道用户进程的PID值.
后记:MT确实是一个很不错的工具,它能够让我们很容易的做很多事情,而不用到处去找相关的软件,
- mt.exe.一个不错的东西,功能很强大
- MT.exe 的使用
- Python中截取强大的一个东西
- 一个很小但是功能却很强大的数学公式编辑器
- wmic 命令的一个汇总,功能很强大
- Emacs好像是一个功能很强大的代码编辑器
- 不错的东西
- 不错的东西: AutoMapper
- 功能仿真时发现一个很奇怪的东西
- 一个功能十分强大的数据库连接池
- 一个eclipse3.3的强大功能
- VC关于mt.exe的 错误解决
- Blender真是不错的东西
- 这个blog功能还算不错,还可以隐藏一些属于自己的东西。
- 强大的端口扫描s.exe
- 一个功能更强大的字符串格式化函数……
- 一个功能非常强大的日历控件(可配置)
- SQLite.NET 一个小巧但是功能非常强大的数据库
- 2004.11.17 中国男足出局
- 入侵8.1公布战果网站
- 关于XMLHTTP的Asynchronouns模式
- 机关算尽,......
- 关于手机的永久存储空间限制问题
- mt.exe.一个不错的东西,功能很强大
- S Q L 注 入 路 径 问 题
- test
- 磨去棱角后的我会是什么样子?
- 四川成都攻防大赛技术细节与个人评论
- 一次对ASP+ORACLE的注入手记
- 成长日记
- Part of aspects in J2SE 1.5
- 脚本故事
