‹‹ 上一主题 | 下一主题 ››
 38 12
发新话题
打印

[原创]关于 Posion Ivy 2.3.0 免杀的思路[6.30更新]

mika

技术核心组

Rank: 8Rank: 8

E.S.T核心成员

帖子
184 
精华
16 
积分
4265 
阅读权限
200 
性别
女 
在线时间
353 小时 
注册时间
2006-7-7 
最后登录
2010-8-5 
楼主 发表于 2007-6-22 21:32  只看该作者

[原创]关于 Posion Ivy 2.3.0 免杀的思路[6.30更新]

文章作者:mika[EST]

附件

bin2shellcode.rar (1 KB)

2007-6-22 21:32, 下载次数: 1427

将二进制转化为shellcode形式

PIShellCode.zip (752 KB)

2007-6-22 21:32, 下载次数: 2725

delphi版的shellcode工具

Poison Ivy 2.3.0.unpacked-cracked.rar (674 KB)

2007-6-22 21:32, 下载次数: 4012

脱壳后的和修改了连接数限制的PI2.3

我的部落格:http://mikawawa.eviloctal.com/

TOP

igotcha

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
40 
阅读权限
20 
性别
男 
在线时间
188 小时 
注册时间
2007-3-22 
最后登录
2010-3-21 
沙发 发表于 2007-6-22 22:39  只看该作者
PI还支持Plugins,如果有高手能做个通过网站上的文件自动更新IP地址的就好了,就像是反弹木马那样~~~~
否则像我用ADSL这种动态IP的人就郁闷了~~~~~

TOP

xiao2004

荣誉会员

Rank: 6Rank: 6Rank: 6

E.S.T论坛贵宾

帖子
456 
精华
16 
积分
1935 
阅读权限
100 
性别
男 
在线时间
231 小时 
注册时间
2005-3-19 
最后登录
2010-8-28 
椅子 发表于 2007-6-22 22:40  只看该作者
但说到底,好像没有教我们怎么变形..

TOP

mika

技术核心组

Rank: 8Rank: 8

E.S.T核心成员

帖子
184 
精华
16 
积分
4265 
阅读权限
200 
性别
女 
在线时间
353 小时 
注册时间
2006-7-7 
最后登录
2010-8-5 
板凳 发表于 2007-6-22 23:01  只看该作者
引用:
引用第3楼xiao2004于2007-06-22 22:40发表的 :
但说到底,好像没有教我们怎么变形..
因为要说变形那真的有太多话要说,而且涉及的东西又比较多一点,所以俺就偷偷懒只介绍一下思路吧。
不过针对PI来说,用最后我说的那种思路就足够应付了。
我的部落格:http://mikawawa.eviloctal.com/

TOP

mika

技术核心组

Rank: 8Rank: 8

E.S.T核心成员

帖子
184 
精华
16 
积分
4265 
阅读权限
200 
性别
女 
在线时间
353 小时 
注册时间
2006-7-7 
最后登录
2010-8-5 
地板 发表于 2007-6-22 23:33  只看该作者
引用:
引用第2楼igotcha于2007-06-22 22:39发表的 :
PI还支持Plugins,如果有高手能做个通过网站上的文件自动更新IP地址的就好了,就像是反弹木马那样~~~~
否则像我用ADSL这种动态IP的人就郁闷了~~~~~
不是吧?PI从一开始就支持动态域名的啊,你申请个动态域名不就得了?
我的部落格:http://mikawawa.eviloctal.com/

TOP

qq998

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
23 
阅读权限
20 
性别
男 
在线时间
59 小时 
注册时间
2006-9-15 
最后登录
2008-8-4 
6楼 发表于 2007-6-23 00:12  只看该作者
最好。能有一个。shellcode 加密的。可以设置加密钥匙。呵呵。这样免杀多方便。

TOP

aspshell

晶莹剔透§烈日灼然

Rank: 1

帖子
17 
精华
0 
积分
59 
阅读权限
40 
性别
男 
在线时间
22 小时 
注册时间
2007-1-21 
最后登录
2007-8-9 
7楼 发表于 2007-6-24 15:29  只看该作者
PV 虽然是不错的东西``但是它的稳定性和连接限制`是最大的问题`
没有解决这二个 问题``只能算是一个半成品的东西``
当然我说的是 目前MS还没有人``破解````即使有破解的```稳定性也极差````
如果有兄弟```有比较稳定和无连接限制的``发短信告诉我 下``谢谢````

TOP

mika

技术核心组

Rank: 8Rank: 8

E.S.T核心成员

帖子
184 
精华
16 
积分
4265 
阅读权限
200 
性别
女 
在线时间
353 小时 
注册时间
2006-7-7 
最后登录
2010-8-5 
8楼 发表于 2007-6-24 15:50  只看该作者
2.3已经非常稳定了,而且增加了插件的功能,修复了很多bug的。至于连接数的问题,俺不太懂破解。不过2.3支持多个client,有个麻烦的办法就是当连接数达到极限后再生成一个服务端和客户端,只是修改连接的端口就行。然后覆盖原来的, 麻烦,不过俺觉得费神去破解那才麻烦呢
我的部落格:http://mikawawa.eviloctal.com/

TOP

落叶树

荣誉会员

Rank: 6Rank: 6Rank: 6

E.S.T论坛贵宾

帖子
989 
精华
42 
积分
5713 
阅读权限
100 
性别
男 
在线时间
591 小时 
注册时间
2004-8-21 
最后登录
2010-8-21 
9楼 发表于 2007-6-24 19:56  只看该作者
引用:
引用第7楼aspshell于2007-06-24 15:29发表的 :
PV 虽然是不错的东西``但是它的稳定性和连接限制`是最大的问题`
没有解决这二个 问题``只能算是一个半成品的东西``
当然我说的是 目前MS还没有人``破解````即使有破解的```稳定性也极差````
如果有兄弟```有比较稳定和无连接限制的``发短信告诉我 下``谢谢````
http://bbs.pediy.com/showthread.php?t=39213
BLOG: http://blog.csdn.net/hkbyest

TOP

lhn

晶莹剔透§烈日灼然

Rank: 1

帖子
31 
精华
0 
积分
90 
阅读权限
40 
在线时间
49 小时 
注册时间
2005-5-18 
最后登录
2010-2-27 
10楼 发表于 2007-6-25 15:04  只看该作者
引用:
为了方便大家从bin格式的文件生成文本格式的shellcode,而且方便大家生成上面的C代码,我写了一个perl脚本用来帮助大家生成perl和c格式的shellcode,代码如下
本来就可以生成c的shellcode,多此一举!!
tapion 1.0c变形的bin不能超过1500字节,楼主你测试了没有呀?

TOP

mika

技术核心组

Rank: 8Rank: 8

E.S.T核心成员

帖子
184 
精华
16 
积分
4265 
阅读权限
200 
性别
女 
在线时间
353 小时 
注册时间
2006-7-7 
最后登录
2010-8-5 
11楼 发表于 2007-6-25 18:07  只看该作者
引用:
引用第13楼lhn于2007-06-25 15:04发表的 :

本来就可以生成c的shellcode,多此一举!!
tapion 1.0c变形的bin不能超过1500字节,楼主你测试了没有呀?
不是多此哦,因为有一些shellcode变形工具变形生成出来的是bin格式的文件,所以你需要用这个脚本来转换。
tapion我没用过,我是用手工变形的。
我的部落格:http://mikawawa.eviloctal.com/

TOP

mika

技术核心组

Rank: 8Rank: 8

E.S.T核心成员

帖子
184 
精华
16 
积分
4265 
阅读权限
200 
性别
女 
在线时间
353 小时 
注册时间
2006-7-7 
最后登录
2010-8-5 
12楼 发表于 2007-6-28 10:08  只看该作者
在网上找到了一个工具,好像是famdiy组织上的,用delphi写的。它可以直接把shellcode生成为一个pe文件,省去你用编译器再去编译了。需要注意的是你在生成服务端时要选择delphi格式的shellcode才行,然后用这个工具处理一下。工具我更新到顶贴了!
我的部落格:http://mikawawa.eviloctal.com/

TOP

aspshell

晶莹剔透§烈日灼然

Rank: 1

帖子
17 
精华
0 
积分
59 
阅读权限
40 
性别
男 
在线时间
22 小时 
注册时间
2007-1-21 
最后登录
2007-8-9 
13楼 发表于 2007-6-30 07:11  只看该作者
引用:
引用第10楼evilbogy于2007-06-24 19:56发表的 :



http://bbs.pediy.com/showthread.php?t=39213
看雪的这篇文章我看过``不过他只是教人如何去壳``却没有达到实质的稳定+连接限制等等解决``
所以也只能算脱壳一类的文章而已````所以向来不用PV````我一直再等牛人 放出那稳定版本+无连接限制````我见过有大牛 一下控制19W鸡鸡```可是人家不会给偶``花钱买``人家也舍不得卖```

TOP

mika

技术核心组

Rank: 8Rank: 8

E.S.T核心成员

帖子
184 
精华
16 
积分
4265 
阅读权限
200 
性别
女 
在线时间
353 小时 
注册时间
2006-7-7 
最后登录
2010-8-5 
14楼 发表于 2007-6-30 11:06  只看该作者
楼上的弟弟,俺看了一下你说的那个帖子。俺学习了一下,把2.3的壳给撬开了,然后用0D学习了一下代码,顺便该了一下里面的连接数限制,现在是无连接数限制了。(不要拿去做坏事哦,否则小心被你自己的肉鸡给DDOS了,嘿嘿)。我把弄好的更新的顶贴了!嘿嘿
我的部落格:http://mikawawa.eviloctal.com/

TOP

ljh1021

晶莹剔透§烈日灼然

Rank: 1

帖子
18 
精华
0 
积分
65 
阅读权限
40 
性别
男 
来自
重庆 
在线时间
13 小时 
注册时间
2007-4-21 
最后登录
2009-11-28 
15楼 发表于 2007-6-30 15:19  只看该作者
这个东西bug太多了,比如说你把它插入的那个进程结束掉(explorer、svchost等等),它的服务端里就会出现两个一模一样的东东。

还有连接端口这些东东在IS下一目了然。这样的隐蔽性,能让人放心吗?
最汗的是,中了之后鼠标会频繁地成漏斗状,虽然持续时间很短,但也够让人起疑了。
相对来说,我更喜欢玫瑰的ncph5.0,虽然很大一个IE进程比较碍眼,但也比poison稳定,而且要那么多功能干嘛,提供一个远程shell就足够了。

TOP

落叶树

荣誉会员

Rank: 6Rank: 6Rank: 6

E.S.T论坛贵宾

帖子
989 
精华
42 
积分
5713 
阅读权限
100 
性别
男 
在线时间
591 小时 
注册时间
2004-8-21 
最后登录
2010-8-21 
16楼 发表于 2007-6-30 16:34  只看该作者
引用:
引用第17楼aspshell于2007-06-30 07:11发表的 :

看雪的这篇文章我看过``不过他只是教人如何去壳``却没有达到实质的稳定+连接限制等等解决``
所以也只能算脱壳一类的文章而已````所以向来不用PV````我一直再等牛人 放出那稳定版本+无连接限制````我见过有大牛 一下控制19W鸡鸡```可是人家不会给偶``花钱买``人家也舍不得卖```
貌似您看帖不够仔细,前面是脱壳,后面才是破解连接限制啊...
BLOG: http://blog.csdn.net/hkbyest

TOP

xln28118

晶莹剔透§烈日灼然

Rank: 1

帖子
44 
精华
0 
积分
137 
阅读权限
40 
在线时间
57 小时 
注册时间
2006-4-15 
最后登录
2010-2-13 
17楼 发表于 2007-7-3 05:47  只看该作者
最近也在研究这个的免杀 19楼的 我插SVCHOST 好象没出现你的状况 2003的 ,软件不错。。

TOP

网络幽灵

晶莹剔透§烈日灼然

Rank: 1

帖子
61 
精华
2 
积分
249 
阅读权限
40 
性别
男 
在线时间
150 小时 
注册时间
2005-7-1 
最后登录
2010-9-1 
18楼 发表于 2007-7-5 21:02  只看该作者
如果勾选了键盘纪录。。
运行后系统会短暂死屏幕、

我选择了插入进程svchost.exe
但是都不成功
XP-SP2
^_^    社会需求将决定你的价值    ^_^

TOP

asoftforg

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
阅读权限
20 
在线时间
4 小时 
注册时间
2005-3-21 
最后登录
2007-11-26 
19楼 发表于 2007-7-14 14:09  只看该作者
张贴一个DELPHI的的PE生成程序~
Put PI ShellCode (Delphi Format)There....


program server;


const
PIshellcode: array[0..6528] of byte =
(
//here insert Shellcode  
);


var
ShellCodeProc:procedure;
begin

ShellCodeProc := @PIshellcode ;
ShellCodeProc();

end.
en因为喜爱所以相聚

TOP

1314tim

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
阅读权限
20 
性别
男 
在线时间
0 小时 
注册时间
2005-12-31 
最后登录
2007-7-30 
20楼 发表于 2007-7-29 21:53  只看该作者
引用:
引用第18楼asoftforg于2007-07-14 14:09发表的 :
张贴一个DELPHI的的PE生成程序~
Put PI ShellCode (Delphi Format)There....


program server;
.......
这个有人试过吗/??现在我机子上没DEV了``~~

TOP

uing

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
13 
阅读权限
20 
性别
男 
来自
在线时间
0 小时 
注册时间
2007-7-29 
最后登录
2008-4-11 
21楼 发表于 2007-7-30 19:48  只看该作者
——真是麻烦啊,就没有一步到位的啊??
——有,在迅雷搜索一下就有傻瓜工具了,自己再改一下就行的!
Uing Duo

TOP

smallcar

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
阅读权限
20 
性别
男 
在线时间
12 小时 
注册时间
2007-8-5 
最后登录
2008-2-10 
22楼 发表于 2007-8-7 20:18  只看该作者
c:\windows\comment.c(530) : error C2094: label 'PIshellcode' was undefined

TOP

feras

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
阅读权限
20 
性别
男 
在线时间
4 小时 
注册时间
2007-8-20 
最后登录
2007-8-31 
23楼 发表于 2007-8-20 12:17  只看该作者
thanks mike hard work
do you remove conection limt from it ?
and how ican change stub with undetected i made ?

TOP

winc

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
16 
阅读权限
20 
性别
男 
在线时间
10 小时 
注册时间
2005-5-9 
最后登录
2010-5-3 
24楼 发表于 2007-9-9 16:40  只看该作者
大哥 我是菜鸟.用那个tapion_pack01c 他说 Error: shellcode size is larger then 1500 bytes
不行啊. 还有类似的 软件吗? 介绍个啊...谢谢

TOP

flygo123

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
阅读权限
20 
在线时间
12 小时 
注册时间
2006-1-7 
最后登录
2008-1-10 
25楼 发表于 2007-9-15 13:20  只看该作者
描述:脱壳后的和修改了连接数限制的PI2.3
附件: Poison Ivy 2.3.0.unpacked-cracked.rar (674 K)

这个是PWD.ONLINEGAME木马!!!

TOP

‹‹ 上一主题 | 下一主题 ››
 38 12
发新话题
最近访问的版块