mt. 简介及使用方法.doc_第1页
mt. 简介及使用方法.doc_第2页
mt. 简介及使用方法.doc_第3页
mt. 简介及使用方法.doc_第4页
mt. 简介及使用方法.doc_第5页
已阅读5页,还剩8页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

MT.EXE是一个网络管理方面的软件,有了这40K的一个程序,居然有大约40项实用功能:用法: mt.exe 选项 :-filter -更改 TCP/IP 过滤器的开头状态-addport -添加端口到过滤器的允许列表-setport -设置端口作为过滤器的允许列表-nicinfo -列出 TCP/IP 界面信息-pslist -列出活动进程-pskill -杀毒指定进程-dlllist -列出指定进程的 DLL-sysinfo -列出系统信息-shutdown -关闭系统-reboot -重启系统-poweroff -关闭电源-logoff -注销当前用户会话-chkts -检查终端服务信息-setupts -安装终端服务-remts -卸载终端服务-chgtsp -重置终端服务端口-clog -清除系统日志-enumsrv -列出所有服务-querysrv -列出指定服务的详细信息-instsrv -安装一个服务-cfgsrv -更改服务配置-remsrv -卸载指定服务-startsrv -启动指定服务-stopsrv -停止指定服务-netget -从 http/ftp 下载-redirect -端口重定向-chkuser -列出所有账户、sid 和 anti 克隆-clone -克隆 admin 到目标-never -设置账户看上去从未登录-killuser -删除账户,甚至是 guest 也可删除-su -以 Local_System 权限运行进程-findpass -显示所有已登录用户的口令-netstat -列出 TCP 连接-killtcp -杀死 TCP 连接-psport -映射端口到进程-touch -设置文件日期和时间到指定值-secdel -安全擦除文件或目录占用的空间-regshell -进入一个控制台注册表编辑器-chkdll -检测 gina dll 后门使用示例 By 中国X黑客小组一,MT.EXE filter用法:MT -filter Enabld|Disable TCP/IP Filter.从上面的说明可以知道,这个是打开关闭TCP/IP筛选的,我们先来试一下,输入命令:D:MT -FILTER onEnable TCP/IP Filter successful!这个时候我们看看是不是打开了TCP/IP筛选,打开网络连接选项,右键本地连接-Internet协议(TCP/IP)属性高级-选项TCP/IP筛选-属性,我们看到的这样的情况,如图:可以看见,我们已经启用了这个TCP/IP筛选,再次输入命令:D:MT -FILTER offDisable TCP/IP Filter successful!查看属性:有了这个工具,我们就不必那样的麻烦的点击鼠标了,一切都很简单.二, D:mt -addport用法:mt -addport NIC PortList Add ports to the allowed portlist.Use -nicinfo get Nic number first.从说明上面看,是增加端口列表中允许通讯的端口,还是和上面的一样,我们来看看这个功能是如何的强大:五, -pslist -List active processes.列出活动进程,经常用PSTOOLS的很熟悉这个功能了,在这里,我将这个工具和pstools的工具相比较,看看他们的功能怎么样?D:mt -pslistPID Path0 Idle Process4 lSystem464 SystemRootSystem32smss.exe524 ?C:WINDOWSsystem32csrss.exe548 ?C:WINDOWSsystem32winlogon.exe592 C:WINDOWSsystem32services.exe604 C:WINDOWSsystem32lsass.exe780 C:WINDOWSsystem32svchost.exe844 C:WINDOWSSystem32svchost.exe876 C:Program FilesTGTSoftStyleXPStyleXPService.exe932 C:WINDOWSSystem32svchost.exe960 C:WINDOWSSystem32svchost.exe1128 C:WINDOWSSystem32alg.exe1160 C:WINDOWSSystem32inetsrvinetinfo.exe1188 D:mysqlbinmysqld-nt.exe1280 C:WINDOWSSystem32nvsvc32.exe1728 C:WINDOWSExplorer.EXE212 C:WINDOWSSystem32ctfmon.exe504 D:Program FilesMicrosoft OfficeOffice10WINWORD.EXE924 D:Program FilesMYIE2myie.exe1348 C:WINDOWSSystem32dllhost.exe1516 C:WINDOWSSystem32dllhost.exe1856 C:WINDOWSSystem32msdtc.exe1356 C:WINDOWSSystem32cmd.exe1004 C:WINDOWSSystem32conime.exe1748 D:Program FilesHyperSnap-DX 5HprSnap5.exe1272 D:MT.exe我们使用PSLIST得到的结果:D:hackpslistPsList v1.12 - Process Information ListerCopyright (C) 1999-2000 Mark RussinovichSystems Internals - http:/www.sysinternals.co.Process information for LIN:Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed TimeIdle 0 0 1 0 20 0:00:00.000 0:40:22.453 0:00:00.000System 4 8 56 258 40 0:00:00.000 0:00:06.098 0:00:00.000smss 464 11 3 21 44 0:00:00.010 0:00:00.100 0:43:10.565csrss 524 13 11 416 3892 0:00:02.042 0:00:14.240 0:43:06.449winlogon 548 13 19 443 1044 0:00:01.171 0:00:01.882 0:43:04.185services 592 9 21 307 940 0:00:00.721 0:00:01.662 0:43:01.582lsass 604 9 19 304 1132 0:00:00.540 0:00:00.690 0:43:01.532svchost 780 8 8 255 824 0:00:00.200 0:00:00.160 0:42:58.687svchost 844 8 55 1214 5740 0:00:02.393 0:00:01.932 0:42:58.457StyleXPSer 876 8 2 38 416 0:00:00.110 0:00:00.070 0:42:58.357svchost 932 8 5 46 396 0:00:00.020 0:00:00.040 0:42:56.705svchost 960 8 7 90 204 0:00:00.060 0:00:00.040 0:42:56.244alg 1128 8 5 116 220 0:00:00.020 0:00:00.060 0:42:49.144inetinfo 1160 8 17 281 864 0:00:00.210 0:00:00.330 0:42:49.054mysqld-nt 1188 8 6 81 76 0:00:00.010 0:00:00.050 0:42:47.602nvsvc32 1280 8 3 74 92 0:00:00.090 0:00:00.160 0:42:45.378Explorer 1728 8 20 583 19548 0:00:11.436 0:00:27.519 0:42:37.607ctfmon 212 8 1 109 1596 0:00:00.340 0:00:01.031 0:42:26.982WINWORD 504 8 5 394 43428 0:01:04.072 0:00:25.757 0:41:26.194myie 924 8 9 312 3116 0:00:09.623 0:00:07.460 0:35:36.582dllhost 1348 8 23 240 1540 0:00:01.982 0:00:00.460 0:35:24.414dllhost 1516 8 15 200 784 0:00:00.190 0:00:00.230 0:35:22.912msdtc 1856 8 18 149 372 0:00:00.080 0:00:00.090 0:35:18.896cmd 1356 8 1 21 592 0:00:00.080 0:00:00.100 0:32:44.414conime 1004 8 1 25 664 0:00:00.050 0:00:00.030 0:32:42.652HprSnap5 1748 8 6 168 1648 0:00:01.932 0:00:03.414 0:18:38.798cmd 1548 8 1 20 1392 0:00:00.020 0:00:00.010 0:00:28.020pslist 1716 8 2 82 1672 0:00:00.030 0:00:00.050 0:00:00.400使用PULIST得到的结果:E:HACKpulistProcess PID UserIdle 0System 4smss.exe 464 NT AUTHORITYSYScsrss.exe 524 NT AUTHORITYSYSwinlogon.exe 548 NT AUTHORITYSYSservices.exe 592 NT AUTHORITYSYSlsass.exe 604 NT AUTHORITYSYSsvchost.exe 780 NT AUTHORITYSYSsvchost.exe 844 NT AUTHORITYSYSStyleXPService.exe 876 NT AUTHORITYSYsvchost.exe 932svchost.exe 960alg.exe 1128inetinfo.exe 1160 NT AUTHORITYSYSmysqld-nt.exe 1188 NT AUTHORITYSYSnvsvc32.exe 1280 NT AUTHORITYSYSExplorer.EXE 1728 LINlinctfmon.exe 212 LINlinWINWORD.EXE 504 LINlinMyIE.exe 924 LINlindllhost.exe 1348dllhost.exe 1516 NT AUTHORITYSYSmsdtc.exe 1856cmd.exe 1356 LINlinconime.exe 1004 LINlinHprSnap5.exe 1748 LINlincmd.exe 1548 LINlinpulist.exe 1788 LINlin从上面的情况可以知道,输入MT还没有PSLIST功能的强大,能够列出 Name,Pid,Pri,Thd Hnd,Mem,User Time,Kernel Time,Elapsed Time,但是较于PULIST,已经是很好的了,能够列出进程名和运行路径,已经能够满足我们平时的使用了.六, D:mt -pskill用法:mt -pskill 同样也是PSTOOLS的工具之一了,我们使用MyIE.exe这个软件作为测试,看看他们能不能杀死这个进程,首先是使用MT,通过上面的 MT PSLIST,我们知道MyIE.exe的PID值是924,于是输入:D:mt -pskill 924Kill process sccuessful!很快,MYIE就消失了,也就是被KILL了,再使用PSKILL.EXE,我们表示公平统一性,我们还是有PSLIST取得MYIE的PID 值,重新打开MYIE,得到它的PID值为220,我们输入:D:hackpskill 220PsKill v1.03 - local and remote process killerCopyright (C) 2000 Mark Russinovichhttp:/www.sysinternals.co.Process 220 killed.同样也是很快被KILL,说明MT和PSKILL的功能是一样的,使用MT也可以达到和PSKILL一样的效果.我们发现MT一个比较弱的功能的就是没有和PSKILL一样支持网络功能,在PSKILL中可以通过 pskill RemoteComputer -u Username -u Specifies optional user name for login toremote computer.杀死远程的计算机进程,当然,我们不可能指望MT也能有这样强大的功能,毕竟我们用的仅仅才只有40K.七, D:mt -dlllist用法:mt -dlllist 列出进程中相关的DLL文件,于这个相关功能的软件我没有找到,不过我们使用Windows优化大师,我们先来测试一下,这次我们选中的进程是 StyleXPService.exe.还是使用MT pslist得到其PID值876,输入:D:mt -dlllist 876C:Program FilesTGTSoftStyleXPStyleXPService.exeC:WINDOWSSystem32ntdll.dllC:WINDOWSsystem32kernel32.dllC:WINDOWSsystem32USER32.dllC:WINDOWSsystem32GDI32.dllC:WINDOWSsystem32ADVAPI32.dllC:WINDOWSsystem32RPCRT4.dllC:WINDOWSsystem32ole32.dllC:WINDOWSsystem32OLEAUT32.dllC:WINDOWSsystem32MSVCRT.DLLC:WINDOWSsystem32VERSION.dllC:WINDOWSSystem32SETUPAPI.dllC:WINDOWSSystem32NETAPI32.dllC:WINDOWSSystem32IMM32.DLLC:WINDOWSSystem32LPK.DLLC:WINDOWSSystem32USP10.dllC:WINDOWSSystem32UXTHEME.DLLC:WINDOWSSystem32rsaenh.dll打开Windows优化大师,看看它得到的相关DLL文件是什么?如图:使用MT得到的DLL相关文件和Windows优化大师的是一摸一样的,我们可以肯定使用MT绝对比使用Windows优化大师方便快捷.八, mt sysinfo列出系统信息,还是使用Windows优化大师与之作比较,发现几乎没有任何的失误,可见准确性特别强的,由于页面的关系,数据不再展示. 这个功能和程序sysinfo.exe是一样的.九, -shutdown -Shutdown system.-reboot -Reboot system.-poweroff -Turn off power.-logoff -Logoff current users session.这4个命令就不说了,和系统工具shutdown不一样的是,输入之后没有任何的提示,直接关机,我已经试过了,幸亏还记得保存.十, -chkts -Check Terminal Service info.-setupts -Install Terminal Service.-remts -Remove Terminal Service.-chgtsp -Reset Terminal Service port.这4个命令是和Terminal相关的,由于没有安装服务器版本的系统,所以没有测试.十一, -clog -Clean system log.用来清除记录,我们输入:D:mt -clog用法:mt -clog -Clean Application|Security|System|All logs.从上面的可以看出,我们可以清除 应用程序 安全性 系统3个日志,我随便选择一个,用MT删除 应用程序日志,输入:D:mt -clog appClean EventLog : Application successful!打开事件查看器,如图,可以看出日志已经被清空,不过MT并不能和小榕的Cleariislog相比,不能删除指定IP的日志,这个可能是yy3并没有考虑将这个工具用作那样的用途.十二, -enumsrv -List all services.列出所有的服务,这个测试可能你的不同,因为我已经删除了很多的服务的了,为了精简系统和提升速度,还是来看看,D:mt -enumsrv用法:mt -enumsrv List all Win32|Driver ServiceD:mt -enumsrv srvNum ServiceName DisplayName0 Alerter Alerter1 ALG Application Layer Gateway Service2 AppMgmt Application Management3 aspnet_state ASP.NET State Service4 AudioSrv Windows Audio(省略以下大部分的内容)D:mt -enumsrv drvNum ServiceName DisplayName0 Abiosdsk Abiosdsk1 abp480n5 abp480n52 ACPI Microsoft ACPI Driver3 ACPIEC ACPIEC4 adpu160m adpu160m5 aec Microsoft Kernel Acoustic Echo Canceller6 AFD AFD 网络支持环境7 Aha154x Aha154x8 aic78u2 aic78u2(省略以下大部分的内容)实在是太多了,也不想说什么了,只有一个字高.十三, D:mt -querysrv用法:mt -querysrv Show detial info of a specifies service.列出服务的详细信息,我们查看系统进程Alerter的信息,输入:D:mt -querysrv AlerterServiceName: AlerterStatus: StoppedServiceType: Win32 Share ServiceStart type: Demand StartLogonID: NT AUTHORITYLocalServiceFilePath : C:WINDOWSSystem32svchost.exe -k LocalServiceDisplayName: AlerterDependency: LanmanWorkstationDescription: 通知所选用户和计算机有关系统管理级警报。如果服务停止,使用管理警报的程序将不会受到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。Start type: Demand StartLogonID: NT AUTHORITYLocalServiceFilePath : C:WINDOWSSystem32alg.exeDisplayName: Application Layer Gateway ServiceDependency:Description: 为 Internet 连接共享和 Internet 连接防火墙提供第三方协议插件的支持实在是很清楚了,当然我们也可以使用mmc查看服务的详细信息,如图:再一次看见这个参数了,上次已经忘记的了.十四, -instsrv -Install a service.-cfgsrv -Changes the configuration of a service.-remsrv -Remove a specified service.-startsrv -Start a specified service.-stopsrv -Stop a specified service.这写命令四和服务相关的,放在一起测试了,服务程序选择了冰河的服务端server.exe,我现在要作的是将这个工具作为服务安装,然后改变配置,开始服务,停止服务等,输入:十五, D:mt -netget用法:mt -netget -Download from http/ftp.这个工具很是实用,直到几个月前,还在安全焦点的论坛上面看见有人需要这样的工具,不过那个时候他们提供的是VBS文件,可惜我现在已经找不到那些代码了,在DOS下下载软件的东西,特别的方便.打建IIS服务器,把server.exe文件放置在根目录下面,在DOS下面输入D:mt -netget /server. f:server.exeDownload File from /server. to f:server.exe.Download completed 272992 bytes .Downloaded 266.6KB 266.6KB/S in 0sec.File TotalByte : 266 KB.将下载回来的server.exe文件保存在F盘server.exe文件.十六, D:mt -redirect用法:mt -redirect TCP port redirector.这个功能和FPIPE是一样的,实现端口转换,我们这样测试,将主机的80端口转化为81端口,这样输入:D:mt -redirect 80 81-Waiting Connection-然后另外开一个CMD,telnet到的81端口,看到这样的情况,第一个CMD显示出了连接的信息.19, -su -Run process as Local_System privilege.以系统特权运行进程,在管理员登陆的情况下输入MT su,马上弹出另外一CMD窗口,在这个窗口中,可以做任何我们想做的事情,这个也是系统的最高权限了.20 -regshell -Enter a console registry editor.以CMD的方式编辑注册表,输入在CMD下不是很方便,不过有时候也是很使用的,输入:D:mt -regshellHKLMdir HARDWARE SAM SECURITY SOFTWARE SYSTEMTotal: 5 SubKey, 0 Value.HKLMquitregD:和真实环境没有什么区别.21, -netstat -List TCP connections.列出所有的TCP连接,我让打开IE,访问的主页,然后输入:D:mt -netstatNum LocalIP Port RemoteIP PORT Status11 80 1050 Established如果使用的是系统自带的netstat,得到的结果是一样的:D:netstatActive ConnectionsProto Local Address Foreign Address StateTCP LIN:http :1050 ESTABLISHED只是使用MT能够更直接,更容易理解,比如使用端口80代替使用协议HTTP.22, D:mt -killtcp用法:mt -killtcp Kill a specifies TCP connection.和上面的搭配用,如果先KILL对本机()的连接,可以输入:D:mt -killtcp 11Waiting connection to be close now.这个时候再输入:D:mt -netstatNum LocalIP Port RemoteIP PORT StatusD:已经看不到有它的连接了.23, -chkdll -Detect gina dll backdoor.检查gina木马后门,这个问题以前是很流行了,所以也被考虑进来了,使用很简单:D:mt -chkdllGinaDll not found.Winlogon Notification Package Dll:HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifycrypt32chaincrypt32.dllHKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifycryptnetcryptnet.dllHKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifycscdllcscdll.dllHKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyScCertPropwlnotify.dllHKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifySchedulewlnotify.dllHKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifysclgntfysclgntfy.dllHKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifySensLognWlNotify.dllHKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifytermsrvwlnotify.dllHKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifywlballoonwlnotify.dllPlease make sure if they were backdoors.如果我安装了GINA木马,会出现这样的情况:D:mt -chkdllGinaDll exist:HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonGinaDllc:windowssystem32ntshellgina.dll很快就被检测出来了,实在是很方便,呵呵,其实我那个DLL文件早就被KILL了,只是修改了一下注册表而已,不过也显示了这个工具的强大性.24, -psport -Map ports to processes.显示进程的端口,这个功能和哪个工具的功能一样的呢,呵呵,忘记了,对了是FPORT.EXE,呵呵,很久没有用了,还是来看看他们有什么不同的地方:D:mt -psportProto Listen PID PathTCP :80 1160 C:WINDOWSSystem32inetsrvinetinfo.exeTCP :135 780 C:WINDOWSsystem32svchost.exeTCP :443 1160 C:WINDOWSSystem32inetsrvinetinfo.exeTCP :1025 1160 C:WINDOWSSystem32inetsrvinetinfo.exeTCP :1026 4 SystemTCP :3025 960 C:WINDOWSSystem32svchost.exeTCP :3027 1252 C:WINDOWSSystem32msdtc.exeTCP :3306 1176 D:mysqlbinmysqld-nt.exeTCP :3001 1120 C:WINDOWSSystem32alg.exeTCP :3002 844 C:WINDOWSSystem32svchost.exeTCP :3003 844 C:WINDOWSSystem32svchost.exeTCP :139 4 SystemTCP :3011 4 SystemUDP :500 1160 C:WINDOWSSystem32inetsrvinetinfo.exeUDP :3456 780 C:WINDOWSsystem32svchost.exeUDP :3020 1160 C:WINDOWSSystem32inetsrvinetinfo.exeUDP :3026 1160 C:WINDOWSSystem32inetsrvinetinfo.exeUDP :137 4 SystemUDP :138 960 C:WINDOWSSystem32svchost.exe使用FPORT.EXE得到下面的结果E:HACKfport /apFPort v2.0 - TCP/IP Process to Port MapperCopyright 2000 by Foundstone, Inc.Pid Process Port Proto Path1120 - 3001 TCP960 - 3025 TCP1252 - 3027 TCP4 System - 1026 TCP4 System - 139 TCP4 System - 3011 TCP1160 inetinfo - 1025 TCP C:WINDOWSSystem32inetsrvinetinfo.exe1160 inetinfo - 443 TCP C:WINDOWSSystem32
人人文库> 全部分类> 行业资料 > 管理策划

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论