简介
黑暗天使是一个结合窃听密码和远程控制于一体的木马,如果把目前流行的
木马称为第四代木马,那么黑暗天使就是一个初级的第五代木马。它的隐蔽性是第四代无法比拟的,可用于
盗取密码和留后门。
特点
1、安装后在任务管理器中看不到任何新增的进程。
2、它随机替换掉一个状态为停止的系统服务,而被替换掉的系统服务属性看不出任何改变。
3、注册表中看不到任何新增的键。
4、它有强大的自我修复功能。
5、具有很强的随机性,安装后木马文件名和存放的目录都是随机的。
6、采用端口隐藏技术,平时木马不开端口,只有当用editDK.exe连接时才会开端口,只能建立一个连接,连接建立后端口会自动关闭。
(注意:你自己的机器必须有独立的ip才能登录到中木马的机器上)
7、能够杀掉目前流行的防火墙。
8、增加了卸载功能,能很方便地升级。
使用方法
1、使用editDK.exe设置木马,其中的“密码”项的作用是:当你要登录到中木马的机器上时,你先要在服务器
地址项填入中木马机器的ip地址(ip地址在发回信的第二行),在密码框中填入正确的密码,然后单击连接按钮,
这时会弹出一个命令行窗口,只要按一下回车键,就可以登录到中木马的机器上了,如果密码不正确,弹出的命令
行窗口马上会消失。密码十分重要,只有你改了密码,你种的木马才不会给别人利用!
注意:email设置是用于把中木马机器上的按键信息发送到接收信箱的。设置完后,必须按“发信测试按钮“进行测试,要收到测试信才算成功。
如图:
1.1 弹出菜单各项的作用
1.11 连接到telnet服务器--该项的作用就是在中木马的机器上打开telnet服务,并且添加用户
yyt_hac,密码为yyt_hac123,使你能用telnet登录到目标机器上。下图为单击该菜单项弹出的登录
窗口:
由于这种连接方式比较容易被发现,建议只在升级黑暗天使或下一选项不成功时使用该连接。
1.12 连接到DKAngel--该项的作用就是连接到黑暗天使自带的shell命令行状态,单击该项
后,就会弹出一个命令行窗口,这时按一下回车键,如果连接成功的话就会进入如下图的命令
行窗口:
由于这种连接的命令行窗口不能即时显示程序的输出信息,建议不要用这种连接安装或卸载
黑暗天使。
1.13 停止telnet服务器--该项的作用是停止目标机器上的telnet服务,并且删除在1.11项
所添加的用户,工作完了以后不要忘了运行该选项,以清除痕迹。
1.14 删除用户--该项用于删除目标机器上的用户,如下图:
上图的密码框不需要填。
1.15 添加用户--该项的作用是添加一个用户到目标机器的管理员组里,如下图:
注意:密码必须满足目标机器的安全策略。
1.16 上传文件到目标机器--该项的作用是把你机器上的一个文件传的中木马的机器上
去,如下图:
"上传后的位置"框中如果是一个目录名,那么文件上传后文件名不改变,如果"上传后的位置"
框中是一个文件名,则上传后文件改名。
1.17 从目标机器下载文件--该项的作用是从中木马的机器上下载一个文件到你自己的机器
上,如下图:
1.18 重起目标机器--该项使目标机器重新启动
2、安装木马
本版本是给高手使用,高手可以先入侵到目标机器再在命令行下安装。把配置好的DKAngel.exe文件拷到目标机器上,
并运行它,只要没有出现带有三个'!'的提些信息就成功了,安装木马以后,随时都可以用editDK.exe的连接选项以
LocalSystem身份登录到目标机器上,这对高手来说,还有什么不能做的呢?不过你的机器
必须要有独立的ip才能登录中木马的机器。这是一个缺点,在下一个版本中会改进。如下图:
上图是通过登录到目标机器的telnet服务器并且目标机器只有一个ip地址时安装黑暗天使的情况,
如果目标机器有两个ip地址,安装黑暗天使时会要你选择以后要连接的ip地址,实际上就是你
入侵用的ip地址。如果你在10秒钟内没有选择,它会自动选择第一个ip地址(默认是机器的第一个ip地址。如下图:
对于在通过远程溢出攻击产生的命令行窗口或黑暗天使自带的命令行窗口中安装黑暗天使,
要特别注意有多个网卡的机器。由于这种命令行窗口不能即时显示程序的输出信息而是要等程序
结束后才会输出,因此提示你选择ip地址的信息不会出现,在这种情况,你要先用ipconfig看
目标机器的ip地址配置信息,如下图:
由上图可以看出,机器的第一个ip地址是202.119.0.1,是外部连接,一般入侵用的就是这个
ip地址,机器的第二个ip地址是1.1.1.100,是属于内部连接,一般用于内部局域网,internet上的
机器是连不到这个地址上来的。由于我们以后要连接的地址是202.119.0.1,因此安装黑暗天使
时输入的ip地址序号为1,如下图:
上图中的‘1’就是输入的ip地址序号,输入‘1’以后,每隔4,5秒钟按一下回车键,直到所有的提示信息出来为止。
这种方式主要用于黑暗天使得升级安装,例如:你已经在一台机器上安装了黑暗天使2.1,现在要装2.3,如果
目标机器的telnet服务不能用,你可以先连到黑暗天使自带的服务器命令行窗口中,先用dkangel -u进行卸载,
卸载完了以后,黑暗天使2.1会在90秒钟后停止,你可以利用这90秒的时间安装2.3。关于在黑暗天使自带的服务器命令行窗口中
卸载黑暗天使得方法,请参看卸载木马部分。
3、卸载木马
通过登录到目标机器的telnet服务器上卸载很简单,只要按照提示输入在设置木马时设置的密码就行了,如下图:
对于在通过远程溢出攻击产生的命令行窗口或黑暗天使自带的命令行窗口中卸载黑暗天使,由于不会出来提示
信息,你在运转‘dkangel -u’后,等几秒钟就输入密码,每隔5、6秒钟按一下回车键,如果没反应,你再输入
一次密码,每隔5、6秒钟按一下回车键,直到所有的提示信息出来为止。卸载以后会有90秒钟让你安装更新版本的
黑暗天使。如下图:
4、参数说明
‘-u20’--卸载黑暗天使2.0,卸载完后,要重起才能安装更高版本的黑暗天使!
‘-u’---卸载黑暗天使2.0以上版本,卸载完后,不需要重起就能安装更高版本的黑暗天使!
‘-h’---显示帮助信息。
与我联系
个人主页:http://yyt_nh.home.chinaren.com
Email:yyt_hac@263.net
QQ:47090005
如果有什么好的建议可以来信告诉我。
发布日期:2001.11.13