mt.exe.一個不錯的東西，功能很強大

作者未知...
測試環境:
主機192.168.0.1,操作系統Windows XP SP1專業版(由於系統經過自己的優化,刪除了很多的功能,所以在測試的時候可能有不正確的地方)
客戶機192.168.0.2,操作系統Windows 2000專業版本,對方是不怎麼懂電腦的人,這個系統也已經用了1年多了,不過還是沒有問題的)
網絡環境:網卡,8029-8139,雙機互連.
MT.EXE是一個網絡管理方面的軟件,依照yy3的說法,也就是 "七拼八湊來的，純粹是圖個方便。"可是這個方便個真的是太方便了,有了這40K的一個程序,可以刪除我們電腦裏面多達幾M的程序,讓我們先來看看這個程序的真面目吧:
D:/>mt.exe

Usage: mt.exe <Opintion>
Opintion :
-filter ---Change TCP/IP filter to on/off status.
-addport ---Add ports to the filter' allowed portlist.
-setport ---Set ports as the filter' allowed portlist.
-nicinfo ---List TCP/IP interface info.
-pslist ---List active processes.
-pskill ---Kill a specified process.
-dlllist ---List dlls of a specified process.
-sysinfo ---List system info.
-shutdown ---Shutdown system.
-reboot ---Reboot system.
-poweroff ---Turn off power.
-logoff ---Logoff current user's session.
-chkts ---Check Terminal Service info.
-setupts ---Install Terminal Service.
-remts ---Remove Terminal Service.
-chgtsp ---Reset Terminal Service port.
-clog ---Clean system log.
-enumsrv ---List all services.
-querysrv ---List detail info of a specified service.
-instsrv ---Install a service.
-cfgsrv ---Changes the configuration of a service.
-remsrv ---Remove a specified service.
-startsrv ---Start a specified service.
-stopsrv ---Stop a specified service.
-netget ---Download from http/ftp.
-redirect ---Port redirect.
-chkuser ---List all account、sid and anti clone.
-clone ---Clone from admin to dest.
-never ---Set account looks like never logged on.
-killuser ---Del account. Even "guest" account.
-su ---Run process as Local_System privilege.
-findpass ---Show all logged on user's pass.
-netstat ---List TCP connections.
-killtcp ---Kill TCP connection.
-psport ---Map ports to processes.
-touch ---Set the file times for a specified file.
-secdel ---Secure delete files and directory or zap free
pace.
-regshell ---Enter a console registry editor.
-chkdll ---Detect gina dll backdoor.
大家可以看見的是,.他的功能一共有34項,包含我們我們平時使用的大部分軟件.下面我就來一項一項的測試,條件和能力有限,希望大家能夠指出其中的不足.
一,MT.EXE –filter
Usage:
MT -filter <ON|OFF> ----Enabld|Disable TCP/IP Filter.
從上面的說明可以知道,這個是打開關閉TCP/IP篩選的,我們先來試一下,輸入命令:
D:/>MT -FILTER on

Enable TCP/IP Filter successful!
這個時候我們看看試不試打開了TCP/IP篩選,打開網絡連接選項,右鍵本地連接---Internet協議(TCP/IP)屬性----高級---選項----TCP/IP篩選-----屬性,我們看到的這樣的情況,如圖:

可以看見,我們已經啓用了這個TCP/IP篩選,再次輸入命令:
D:/>MT -FILTER off

Disable TCP/IP Filter successful!
查看屬性:

有了這個工具,我們就不必那樣的麻煩的點擊鼠標了,一切都很簡單.

二, D:/>mt -addport

Usage:
mt -addport <TCP|UDP> NIC PortList ----Add ports to the allowed portlist.
Use "-nicinfo" get Nic number first.
從說明上面看,是增加端口列表中允許通訊的端口,還是和上面的一樣,我們來看看這個功能是如何的強大:
五, -pslist ---List active processes.
列出活動進程,經常用PSTOOLS的很熟悉這個功能了,在這裏,我將這個工具和pstools的工具相比較,看看他們的功能怎麼樣?
D:/>mt -pslist

PID Path
0 [Idle Process]
4 l[System]
464 /SystemRoot/System32/smss.exe
524 /??/C:/WINDOWS/system32/csrss.exe
548 /??/C:/WINDOWS/system32/winlogon.exe
592 C:/WINDOWS/system32/services.exe
604 C:/WINDOWS/system32/lsass.exe
780 C:/WINDOWS/system32/svchost.exe
844 C:/WINDOWS/System32/svchost.exe
876 C:/Program Files/TGTSoft/StyleXP/StyleXPService.exe
932 C:/WINDOWS/System32/svchost.exe
960 C:/WINDOWS/System32/svchost.exe
1128 C:/WINDOWS/System32/alg.exe
1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
1188 D:/mysql/bin/mysqld-nt.exe
1280 C:/WINDOWS/System32/nvsvc32.exe
1728 C:/WINDOWS/Explorer.EXE
212 C:/WINDOWS/System32/ctfmon.exe
504 D:/Program Files/Microsoft Office/Office10/WINWORD.EXE
924 D:/Program Files/MYIE2/myie.exe
1348 C:/WINDOWS/System32/dllhost.exe
1516 C:/WINDOWS/System32/dllhost.exe
1856 C:/WINDOWS/System32/msdtc.exe
1356 C:/WINDOWS/System32/cmd.exe
1004 C:/WINDOWS/System32/conime.exe
1748 D:/Program Files/HyperSnap-DX 5/HprSnap5.exe
1272 D:/MT.exe
我們使用PSLIST得到的結果:
D:/hack>pslist

PsList v1.12 - Process Information Lister
Copyright (C) 1999-2000 Mark Russinovich
Systems Internals - http://www.sysinternals.com

Process information for LIN:

Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time
Idle 0 0 1 0 20 0:00:00.000 0:40:22.453 0:00:00.000
System 4 8 56 258 40 0:00:00.000 0:00:06.098 0:00:00.000
smss 464 11 3 21 44 0:00:00.010 0:00:00.100 0:43:10.565
csrss 524 13 11 416 3892 0:00:02.042 0:00:14.240 0:43:06.449
winlogon 548 13 19 443 1044 0:00:01.171 0:00:01.882 0:43:04.185
services 592 9 21 307 940 0:00:00.721 0:00:01.662 0:43:01.582
lsass 604 9 19 304 1132 0:00:00.540 0:00:00.690 0:43:01.532
svchost 780 8 8 255 824 0:00:00.200 0:00:00.160 0:42:58.687
svchost 844 8 55 1214 5740 0:00:02.393 0:00:01.932 0:42:58.457
StyleXPSer 876 8 2 38 416 0:00:00.110 0:00:00.070 0:42:58.357
svchost 932 8 5 46 396 0:00:00.020 0:00:00.040 0:42:56.705
svchost 960 8 7 90 204 0:00:00.060 0:00:00.040 0:42:56.244
alg 1128 8 5 116 220 0:00:00.020 0:00:00.060 0:42:49.144
inetinfo 1160 8 17 281 864 0:00:00.210 0:00:00.330 0:42:49.054
mysqld-nt 1188 8 6 81 76 0:00:00.010 0:00:00.050 0:42:47.602
nvsvc32 1280 8 3 74 92 0:00:00.090 0:00:00.160 0:42:45.378
Explorer 1728 8 20 583 19548 0:00:11.436 0:00:27.519 0:42:37.607
ctfmon 212 8 1 109 1596 0:00:00.340 0:00:01.031 0:42:26.982
WINWORD 504 8 5 394 43428 0:01:04.072 0:00:25.757 0:41:26.194
myie 924 8 9 312 3116 0:00:09.623 0:00:07.460 0:35:36.582
dllhost 1348 8 23 240 1540 0:00:01.982 0:00:00.460 0:35:24.414
dllhost 1516 8 15 200 784 0:00:00.190 0:00:00.230 0:35:22.912
msdtc 1856 8 18 149 372 0:00:00.080 0:00:00.090 0:35:18.896
cmd 1356 8 1 21 592 0:00:00.080 0:00:00.100 0:32:44.414
conime 1004 8 1 25 664 0:00:00.050 0:00:00.030 0:32:42.652
HprSnap5 1748 8 6 168 1648 0:00:01.932 0:00:03.414 0:18:38.798
cmd 1548 8 1 20 1392 0:00:00.020 0:00:00.010 0:00:28.020
pslist 1716 8 2 82 1672 0:00:00.030 0:00:00.050 0:00:00.400
使用PULIST得到的結果:
E:/HACK>pulist
Process PID User
Idle 0
System 4
smss.exe 464 NT AUTHORITY/SYS
csrss.exe 524 NT AUTHORITY/SYS
winlogon.exe 548 NT AUTHORITY/SYS
services.exe 592 NT AUTHORITY/SYS
lsass.exe 604 NT AUTHORITY/SYS
svchost.exe 780 NT AUTHORITY/SYS
svchost.exe 844 NT AUTHORITY/SYS
StyleXPService.exe 876 NT AUTHORITY/SY
svchost.exe 932
svchost.exe 960
alg.exe 1128
inetinfo.exe 1160 NT AUTHORITY/SYS
mysqld-nt.exe 1188 NT AUTHORITY/SYS
nvsvc32.exe 1280 NT AUTHORITY/SYS
Explorer.EXE 1728 LIN/lin
ctfmon.exe 212 LIN/lin
WINWORD.EXE 504 LIN/lin
MyIE.exe 924 LIN/lin
dllhost.exe 1348
dllhost.exe 1516 NT AUTHORITY/SYS
msdtc.exe 1856
cmd.exe 1356 LIN/lin
conime.exe 1004 LIN/lin
HprSnap5.exe 1748 LIN/lin
cmd.exe 1548 LIN/lin
pulist.exe 1788 LIN/lin
從上面的情況可以知道,輸入MT還沒有PSLIST功能的強大,能夠列出Name,Pid,Pri,Thd Hnd,Mem,User Time,Kernel Time,Elapsed Time,但是較於PULIST,已經是很好的了,能夠列出進程名和運行路徑,已經能夠滿足我們平時的使用了.

六, D:/>mt -pskill

Usage:
mt -pskill <PID|ProcessName>
同樣也是PSTOOLS的工具之一了,我們使用MyIE.exe這個軟件作爲測試,看看他們能不能殺死這個進程,首先是使用MT,通過上面的MT –PSLIST,我們知道MyIE.exe的PID值是924,於是輸入:
D:/>mt -pskill 924

Kill process sccuessful!
很快,MYIE就消失了,也就是被KILL了,再使用PSKILL.EXE,我們表示公平統一性,我們還是有PSLIST取得MYIE的PID值,重新打開MYIE,得到它的PID值爲220,我們輸入:
D:/hack>pskill 220

PsKill v1.03 - local and remote process killer
Copyright (C) 2000 Mark Russinovich
http://www.sysinternals.com

Process 220 killed.
同樣也是很快被KILL,說明MT和PSKILL的功能是一樣的,使用MT也可以達到和PSKILL一樣的效果.
我們發現MT一個比較弱的功能的就是沒有和PSKILL一樣支持網絡功能,在PSKILL中可以通過pskill [/RemoteComputer [-u Username]] <process Id or name>
-u Specifies optional user name for login to
remote computer.
殺死遠程的計算機進程,當然,我們不可能指望MT也能有這樣強大的功能,畢竟我們用的僅僅才只有40K.

七, D:/>mt -dlllist

Usage:
mt -dlllist <PID|ProcessName>
列出進程中相關的DLL文件,於這個相關功能的軟件我沒有找到,不過我們使用Windows優化大師,我們先來測試一下,這次我們選中的進程是StyleXPService.exe.還是使用MT –pslist得到其PID值876,輸入:
D:/>mt -dlllist 876

C:/Program Files/TGTSoft/StyleXP/StyleXPService.exe
C:/WINDOWS/System32/ntdll.dll
C:/WINDOWS/system32/kernel32.dll
C:/WINDOWS/system32/USER32.dll
C:/WINDOWS/system32/GDI32.dll
C:/WINDOWS/system32/ADVAPI32.dll
C:/WINDOWS/system32/RPCRT4.dll
C:/WINDOWS/system32/ole32.dll
C:/WINDOWS/system32/OLEAUT32.dll
C:/WINDOWS/system32/MSVCRT.DLL
C:/WINDOWS/system32/VERSION.dll
C:/WINDOWS/System32/SETUPAPI.dll
C:/WINDOWS/System32/NETAPI32.dll
C:/WINDOWS/System32/IMM32.DLL
C:/WINDOWS/System32/LPK.DLL
C:/WINDOWS/System32/USP10.dll
C:/WINDOWS/System32/UXTHEME.DLL
C:/WINDOWS/System32/rsaenh.dll
打開Windows優化大師,看看它得到的相關DLL文件是什麼?如圖:

使用MT得到的DLL相關文件和Windows優化大師的是一摸一樣的,我們可以肯定使用MT絕對比使用Windows優化大師方便快捷.

八, mt –sysinfo
列出系統信息,還是使用Windows優化大師與之作比較,發現幾乎沒有任何的失誤,可見準確性特別強的,由於頁面的關係,數據不再展示. 這個功能和程序sysinfo.exe是一樣的.
九, -shutdown ---Shutdown system.
-reboot ---Reboot system.
-poweroff ---Turn off power.
-logoff ---Logoff current user's session.
這4個命令就不說了,和系統工具shutdown不一樣的是,輸入之後沒有任何的提示,直接關機,我已經試過了,幸虧還記得保存.
十, -chkts ---Check Terminal Service info.
-setupts ---Install Terminal Service.
-remts ---Remove Terminal Service.
-chgtsp ---Reset Terminal Service port.
這4個命令是和Terminal相關的,由於沒有安裝服務器版本的系統,所以沒有測試.
十一, -clog ---Clean system log.
用來清除記錄,我們輸入:
D:/>mt -clog

Usage:
mt -clog <app|sec|sys|all> ---Clean Application|Security|System|All logs.
從上面的可以看出,我們可以清除 "應用程序" "安全性" "系統"3個日誌,我隨便選擇一個,用MT刪除 "應用程序"日誌,輸入:
D:/>mt -clog app
Clean EventLog : Application successful!
打開事件查看器,如圖,

可以看出日誌已經被清空,不過MT並不能和小榕的Cleariislog相比,不能刪除指定IP的日誌,這個可能是yy3並沒有考慮將這個工具用作那樣的用途.

十二, -enumsrv ---List all services.
列出所有的服務,這個測試可能你的不同,因爲我已經刪除了很多的服務的了,爲了精簡系統和提升速度,還是來看看,
D:/>mt -enumsrv

Usage:
mt -enumsrv <SRV|DRV> ----List all Win32|Driver Service

D:/>mt -enumsrv srv

Num ServiceName DisplayName

0 Alerter Alerter
1 ALG Application Layer Gateway Service
2 AppMgmt Application Management
3 aspnet_state ASP.NET State Service
4 AudioSrv Windows Audio
(省略以下大部分的內容)
D:/>mt -enumsrv drv

Num ServiceName DisplayName

0 Abiosdsk Abiosdsk
1 abp480n5 abp480n5
2 ACPI Microsoft ACPI Driver
3 ACPIEC ACPIEC
4 adpu160m adpu160m
5 aec Microsoft Kernel Acoustic Echo Canceller
6 AFD AFD 網絡支持環境
7 Aha154x Aha154x
8 aic78u2 aic78u2
(省略以下大部分的內容)
實在是太多了,也不想說什麼了,只有一個字----高.
十三, D:/>mt -querysrv

Usage:
mt -querysrv <ServiceName> ----Show detial info of a specifies service.
列出服務的詳細信息,我們查看系統進程Alerter的信息,輸入:
D:/>mt -querysrv Alerter

ServiceName: Alerter
Status: Stopped
ServiceType: Win32 Share Service
Start type: Demand Start
LogonID: NT AUTHORITY/LocalService
FilePath : C:/WINDOWS/System32/svchost.exe -k LocalService
DisplayName: Alerter
Dependency: LanmanWorkstation
Description: 通知所選用戶和計算機有關係統管理級警報。如果服務停止，使用管理警
報的程序將不會受到它們。如果此服務被禁用，任何直接依賴它的服務都將不能啓動。Start type: Demand Start
LogonID: NT AUTHORITY/LocalService
FilePath : C:/WINDOWS/System32/alg.exe
DisplayName: Application Layer Gateway Service
Dependency:
Description: 爲 Internet 連接共享和 Internet 連接防火牆提供第三方協議插件的支
持
實在是很清楚了,當然我們也可以使用mmc查看服務的詳細信息,如圖:

再一次看見這個參數了,上次已經忘記的了.
十四, -instsrv ---Install a service.
-cfgsrv ---Changes the configuration of a service.
-remsrv ---Remove a specified service.
-startsrv ---Start a specified service.
-stopsrv ---Stop a specified service.
這寫命令四和服務相關的,放在一起測試了,服務程序選擇了冰河的服務端server.exe,我現在要作的是將這個工具作爲服務安裝,然後改變配置,開始服務,停止服務等,輸入:
十五, D:/>mt -netget

Usage:
mt -netget <url> <filename to saved> ---Download from http/ftp.
這個工具很是實用,直到幾個月前,還在安全焦點的論壇上面看見有人需要這樣的工具,不過那個時候他們提供的是VBS文件,可惜我現在已經找不到那些代碼了,在DOS下下載軟件的東西,特別的方便.打建IIS服務器,把server.exe文件放置在根目錄下面,在DOS下面輸入
D:/>mt -netget http://192.168.0.1/server.exe f:/server.exe

Download File from http://192.168.0.1/server.exe to f:/server.exe.
Download completed 272992 bytes ......
Downloaded 266.6KB @266.6KB/S in 0sec.

File <f:/server.exe> TotalByte : 266 KB.
將下載回來的server.exe文件保存在F盤server.exe文件.

十六, D:/>mt -redirect

Usage:
mt -redirect <TargetIP> <TargetPort> <ListenPort> ----TCP port redirector.
這個功能和FPIPE是一樣的,實現端口轉換,我們這樣測試,將192.168.0.1主機的80端口轉化爲81端口,這樣輸入:
D:/>mt -redirect 192.168.0.1 80 81


------Waiting Connection-----
然後另外開一個CMD,telnet到192.168.0.1的81端口,看到這樣的情況,第一個CMD顯示出了連接的信息,
D:/>mt -redirect 192.168.0.1 80 81


------Waiting Connection-----


Accept client==>192.168.0.1:3027
connect to 192.168.0.1 80 success!
Thread 1988 recv 2 bytes.
Thread 1988 send 2 bytes.
Thread 1988 recv 2 bytes.
Thread 1988 send 2 bytes.
Thread 316 recv 224 bytes.
Thread 316 send 224 bytes.
而第二個CMD也顯示出了我們需要得到的信息:
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.1
Date: Wed, 19 May 2004 13:28:53 GMT
Content-Type: text/html
Content-Length: 87

<html><head><title>Error</title></head><body>The parameter is incorrect. </body>
</html>
不過這個功能有一點不穩定,也就是說,有時候可以,有時候又不可以,這次的成功也是重新啓動以後纔出現的,相對於FPIPE,是方便了很多了,置於FPIPE.exe的用法,實在是讓我頭痛了幾天.
17, D:/>mt -clone

Usage:
mt -clone <SourUser> <DestUser>
克隆賬號,有點象小榕的cloneuser,測試一下,新建一個用戶yun,現在我要將管理員賬號lin克隆爲賬號yun,輸入:
D:/hack>mt -clone lin yun

Fail to Open SAM Key, 操作成功完成。
D:/>mt -clone lin yun

Fail to Open SAM Key, 操作成功完成。
可能是不支持XP系統,雖然提示說操作成功,可是事實上,使用yun登陸的時候,還是沒有成功,可能也是有其缺陷或者是我自己操作失敗吧.

18, D:/>mt -never
-never ---Set account looks like never logged on.
它可以設置使用戶看起來從來沒有登陸過,在我的系統裏面有2個用戶,一個是管理員lin,另外一個是公用的帳戶316,現在我把316設置爲從不登陸的狀態.輸入
D:/>mt -never 316

Require System Privilege.提示沒有權限,於是

D:/>mt -su

打開新的CMD窗口,輸入
Microsoft Windows XP [版本 5.1.2600]
(C) 版權所有 1985-2001 Microsoft Corp.

C:/WINDOWS/system32>d:

D:/>mt -never 316

Fail to Set F Value.

D:/>net user 316
用戶名 316
全名 316
註釋
用戶的註釋
國家(地區)代碼 000 (系統默認值)
帳戶啓用 Yes
帳戶到期 從不

上次設置密碼 2004/5/19 下午 08:22
密碼到期 從不
密碼可更改 2004/5/19 下午 08:22
需要密碼 Yes
用戶可以更改密碼 Yes

允許的工作站 All
登錄腳本
用戶配置文件
主目錄
上次登錄 從不

可允許的登錄小時數 All

本地組成員 *Users
全局組成員 *None
命令成功完成。


D:/>
可以看出來已經修改成功了,雖然顯示的是Fail to Set F Value.,但還是成功了.這個功能和never.exe是一樣的，只是將特定的的帳戶上回登陸時間改爲帳戶從來沒有登陸上過系統.
成功條件:你要有local system權限

18, -killuser ---Del account. Even "guest" account.
刪除用戶,輸入D:/>mt -killuser ziqi

Kill User: ziqi Success!
這個功能有一點問題,輸入提示已經刪除了,可是然後事實上,這個用戶並沒有刪除,我們輸入
D:/>net user

/LIN 的用戶帳戶

-------------------------------------------------------------------------------
316 Administrator ASPNET
Guest HelpAssistant IUSR_IMAGE
IWAM_IMAGE lin SUPPORT_388945a0
ziqi
命令成功完成。
還是能夠看見ziqi的賬號,打開控制面板,用戶賬號,還是能看見這個用戶的身影:

但是如果我們以下面這種方式登陸,也就是先運行MT –su得到系統最高權限,在這個CMD下,我們就可以刪除賬號了，同時也可以刪除GUEST用戶,雖然我還沒有激活這個賬號,不知道是什麼原因，因爲我本身登陸的就已經是administrator組了.刪除GUEST的過程:
D:/>mt -killuser guest

Kill User: guest Success!

D:/>net user

/ 的用戶帳戶

-------------------------------------------------------------------------------
316 Administrator ASPNET
HelpAssistant IUSR_IMAGE IWAM_IMAGE
lin SUPPORT_388945a0 yun
命令運行完畢，但發生一個或多個錯誤。
19, -su ---Run process as Local_System privilege.
以系統特權運行進程,在管理員登陸的情況下輸入MT –su,馬上彈出另外一CMD窗口,在這個窗口中,可以做任何我們想做的事情,這個也是系統的最高權限了.
20 -regshell ---Enter a console registry editor.
以CMD的方式編輯註冊表,輸入在CMD下不是很方便,不過有時候也是很使用的,輸入:
D:/>mt -regshell

HKLM/>dir

<SubKey> HARDWARE
<SubKey> SAM
<SubKey> SECURITY
<SubKey> SOFTWARE
<SubKey> SYSTEM

Total: 5 SubKey, 0 Value.

HKLM/>quitreg

D:/>
和真實環境沒有什麼區別.
21, -netstat ---List TCP connections.
列出所有的TCP連接,我讓192.168.0.2打開IE,訪問192.168.0.1的主頁,然後輸入:
D:/>mt -netstat

Num LocalIP Port RemoteIP PORT Status
11 192.168.0.1 80 192.168.0.2 1050 Established
如果使用的是系統自帶的netstat,得到的結果是一樣的:
D:/>netstat

Active Connections

Proto Local Address Foreign Address State
TCP LIN:http 192.168.0.2:1050 ESTABLISHED
只是使用MT能夠更直接,更容易理解,比如使用端口80代替使用協議HTTP.
22, D:/>mt -killtcp

Usage:
mt -killtcp <ConnectionNum> ----Kill a specifies TCP connection.
和上面的搭配用,如果先KILL192.168.0.2對本機(192.168.0.1)的連接,可以輸入:
D:/>mt -killtcp 11

Waiting connection to be close now.
這個時候再輸入:
D:/>mt -netstat

Num LocalIP Port RemoteIP PORT Status

D:/>
已經看不到有它的連接了.
23, -chkdll ---Detect gina dll backdoor.
檢查gina木馬後門,這個問題以前是很流行了,所以也被考慮進來了,使用很簡單:
D:/>mt -chkdll

GinaDll not found.

Winlogon Notification Package Dll:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/crypt32chain
crypt32.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/cryptnet
cryptnet.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/cscdll
cscdll.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/ScCertProp
wlnotify.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/Schedule
wlnotify.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/sclgntfy
sclgntfy.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/SensLogn
WlNotify.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/termsrv
wlnotify.dll
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/wlballoon
wlnotify.dll

Please make sure if they were backdoors.
如果我安裝了GINA木馬,會出現這樣的情況:
D:/>mt -chkdll

GinaDll exist:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDll
c:/windows/system32/ntshellgina.dll
很快就被檢測出來了,實在是很方便,呵呵,其實我那個DLL文件早就被KILL了,只是修改了一下註冊表而已,不過也顯示了這個工具的強大性.
24, -psport ---Map ports to processes.
顯示進程的端口,這個功能和哪個工具的功能一樣的呢,呵呵,忘記了,對了是FPORT.EXE,呵呵,很久沒有用了,還是來看看他們有什麼不同的地方:
D:/>mt -psport

Proto Listen PID Path
TCP 0.0.0.0:80 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
TCP 0.0.0.0:135 780 C:/WINDOWS/system32/svchost.exe
TCP 0.0.0.0:443 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
TCP 0.0.0.0:1025 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
TCP 0.0.0.0:1026 4 [System]
TCP 0.0.0.0:3025 960 C:/WINDOWS/System32/svchost.exe
TCP 0.0.0.0:3027 1252 C:/WINDOWS/System32/msdtc.exe
TCP 0.0.0.0:3306 1176 D:/mysql/bin/mysqld-nt.exe
TCP 127.0.0.1:3001 1120 C:/WINDOWS/System32/alg.exe
TCP 127.0.0.1:3002 844 C:/WINDOWS/System32/svchost.exe
TCP 127.0.0.1:3003 844 C:/WINDOWS/System32/svchost.exe
TCP 192.168.0.1:139 4 [System]
TCP 192.168.0.1:3011 4 [System]
UDP 0.0.0.0:500 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
UDP 0.0.0.0:3456 780 C:/WINDOWS/system32/svchost.exe
UDP 127.0.0.1:3020 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
UDP 127.0.0.1:3026 1160 C:/WINDOWS/System32/inetsrv/inetinfo.exe
UDP 192.168.0.1:137 4 [System]
UDP 192.168.0.1:138 960 C:/WINDOWS/System32/svchost.exe

使用FPORT.EXE得到下面的結果
E:/HACK>fport /ap
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process Port Proto Path
1120 -> 3001 TCP
960 -> 3025 TCP
1252 -> 3027 TCP
4 System -> 1026 TCP
4 System -> 139 TCP
4 System -> 3011 TCP
1160 inetinfo -> 1025 TCP C:/WINDOWS/System32/inetsrv/inetinfo.exe
1160 inetinfo -> 443 TCP C:/WINDOWS/System32/inetsrv/inetinfo.exe
1160 inetinfo -> 80 TCP C:/WINDOWS/System32/inetsrv/inetinfo.exe
844 svchost -> 3002 TCP C:/WINDOWS/System32/svchost.exe
844 svchost -> 3003 TCP C:/WINDOWS/System32/svchost.exe
780 svchost -> 135 TCP C:/WINDOWS/system32/svchost.exe
1176 mysqld-nt -> 3306 TCP D:/mysql/bin/mysqld-nt.exe

960 -> 138 UDP
4 System -> 137 UDP
1160 inetinfo -> 3020 UDP C:/WINDOWS/System32/inetsrv/inetinfo.exe
1160 inetinfo -> 3026 UDP C:/WINDOWS/System32/inetsrv/inetinfo.exe
1160 inetinfo -> 500 UDP C:/WINDOWS/System32/inetsrv/inetinfo.exe
780 svchost -> 3456 UDP C:/WINDOWS/system32/svchost.exe
基本上差不多了,不過感覺好像FPORT更加強大一點,因爲我現在在FPORT中用了參數,爲了使2個更容易對比一些.
這裏還有一個比較好的軟件,使GUI的,抓圖下來如下:

24, -touch ---Set the file times for a specified file.
查看文件修改時間,下載或者COPY,轉移會改變文件的最後修改時間,而使用這個命令可以查看文件的最後修改時間,舉個例子,我們現在看到的文件mt.exe,如圖,

而事實上,我們使用下面的命令:
D:/>mt -touch mt1.exe

Set FileTime Successful.

CreationTime : 07/10/2002
LastAccessTime : 19/05/2004
LastWriteTime : 07/10/2002
可以知道其創建時間不使2004年5月19日,而是CreationTime : 07/10/2002,相信這個也就使yy3寫這個程序的時間了.與這個相關的軟件有偷touch.exe,可以我電腦裏面的這個文件已經本病毒破壞了。
25, -chkuser ---List all account、sid and anti clone.
這個功能,測試不了,雖然說使列出所有的用戶,SID和反克隆設置,但是,一旦輸入,就有錯誤發生
26， -findpass ---Show all logged on user's pass.
得到所有登陸用戶的密碼,由於這個命令是For NT/2K only.,所以我在客戶機上面測試這個功能,輸入,很容易就得到了密碼:
G:/WINNT/system32>mt -findpass
mt -findpass

The logon information :
Domain : 316-2AS8L1B1FL5
Username : Administrator
Password : winyaj

G:/WINNT/system32>
這個比findpass.exe還方便一些,不需要知道用戶進程的PID值.

後記:MT確實是一個很不錯的工具,它能夠讓我們很容易的做很多事情,而不用到處去找相關的軟件,