RAT结构演变史：详细讲述 Bifrost、Flux、Poison Ivy 的结构_Nuclear'Atk 网络安全研究中心
RAT结构演变史：详细讲述 Bifrost、Flux、Poison Ivy 的结构
转自：http://huaidan.org/archives/1722.html，该网站的文章也是转载的，转载时间为： 5:47，文章真正的写作时间要早于这个时间，由于原作者网站早已无法访问，已无从考证。
由于原文极度潦草，标点符号乱用，无语了，十分难以阅读，本站于
9:13:17 重新进行了排版，有修改少量语句。
------------------------------------------- ↓&原文 ↓ -------------------------------------------
转载保留版权，，/。
&&& 想了解更深层的RAT架构的不妨进来看看。高手飘过……
&&& 稍微详细的讲述一下 Bifrost，Flux，PoisonIvy 的结构
&&& 只说RAT结构演变，其他技术不讨论……
自从Bo出世后。大量的RAT相继出现……
国内熟悉的，冰河，黑洞，PcShare，灰鸽子等……
国外熟悉的 Bifrost，Flux，Assasin，Beast，Bandook，Institution，PoisonIvy 等……
相继有自己的特色，包括程序结构，出现了许多令人惊叹的东西……
[1] 结构简介：
第一代：-EXE独立结构
相对应的，C/S架构：EXE --& EXE
都是EXE的，比如说冰河，黑洞，几乎第一，二代RAT都是。
第二代：DLL分体结构
这代的DLL纯粹是为了穿墙而设计……
利用 Inject Code --& LoadLibrarA 完成DLL载入。
或者注册表，消息钩子等等……
第2.5代：Plugin 型架构
插件结构的RAT大部分功能……
说到插件型RAT，国内只有灰鸽子之流做出这样的东西。
而且纯粹是摆设……
当然还有FWB++
DLL映射注入，相信大家知道 FilePacker，Alloy，MoleBox，PEBundle，将DLL映射到EXE空间里，然后修改导入表跳转地址……
这样做到了无需加载DLL(其实DLL是映射到EXE空间了)
FWB++ 就是这么玩～，乎乎～
Tequila Bandita 就是采用 DLL Stream Inject 的，国内使用的比较少……
关于插件的RAT，做的最绝的要属 Spirit 系列。
那几乎完美的体积，强悍的代码注入方式，包括代码优化整合，PE结构的使用。
早就了 Spirit4b1 那 1.37k的体积，(API Hash搜索(写的太Cool了)，LZO压缩引擎，RT32注入引擎.)
他主要是采用代码注入方式，然后再传输 DLL 插件。
第三代：代码注入类型
这个技术类似病毒技术，将病毒体代码写入host文件……
再进程注入方面，既然可以写 LoadLibraryA 函数。
为什么就不能写入所有代码呢……
技术难点：代码，数据重定位问题……
还有数据的地址获取等等，一些这样那样的问题……
当然在乎编程者，其实这些都很容易解决……
NT核心下可以让你使用ProcessHack技术了……
替换代码，傀儡进程等等都是类似技术
综上所述，现在的RAT无外乎这几种形态……
那我说了半天究竟要说什么？我说的是木马的框架结构……
下面小议一下木马存在形态……
[2] 形态介绍：
//--------------------------------------------------
单纯的EXE，WIn9x下将自己注册成系统服务隐藏进程……
黑洞，Nuclear Rat，灰鸽子，Spook，风雨江湖，小熊那东东……
都是采用第二代形式……
EXE+DLL……
这代体积都比较庞大……
不管是什么消息钩子
下面主要说说，Bifrost，Flux，Poison Ivy 吧，国内的没啥意思，请原谅我的无理……
本文说的是框架，聊的是自己敢兴趣的东西……
相信也有的朋友对 Bifrost，Flux，Poison Ivy 能这么小的体积感兴趣。
Flux，Bifrost，Poison Ivy 其实都是采用FWB+技术……
但是他们都有一个共通点……
这里算上，C-One V1.0(Caecigenus)
Caecigenus 好牛的，别的不知道，至少他，法文，English，中文都会说……
x140d4n 说他是中国人？还是华人？？？
C-One 和 Flux 类似，但是编码技术不如 Gargamel 来的 Cool……
Flux，Bifrost，Poison Ivy，C-One 都是前 EES，现在的 ChaseNET 的作品。
[1] C-One 比较简单，先说一下吧：
1.安装自己
2.注入到默认浏览器
浏览器路径由 HKEY_CLASSES_ROOT\HTTP\shell\open\command 获取
由于他没有使用RT32或者EliRT组件库
所以这个RAT不支持Win9x
注入方式也很简单.
VirtualAllocExVirtualProtectExWriteProcessMemoryCreateRemoteThreadWaitForSingleObject
协议包也很简单（简单的令人发狂，速度慢得要死，还弄了一个既算加密又不算加密的加密算法）
[2] Flux，Bifrost
采用的是原始结构，佩服 Gargamel，ksv 的毅力
居然可以把这么多代码直接用VC写出来，完全代码注入……
和上面的C-One一样，注入方式不过二者都使用了 EliRT 1.01。
不过为了防止被跟踪他们都是先将代码注入 explorer.exe 或者 msgsrv32.exe，然后再次跳转……
当然你熟练操作你的 Debuger Tools 的话很容易就可以注入你想注入的进程，然后去分析他的结构，OD足矣……
特殊的地方，发送指令，执行指令，都是采用同一个Socket，可以多线程操作……
相互之间不会冲突，你可以一边查看桌面，WebCam，还有传输文件，同时还可以干点别的。
可见作者功力之高，国内没有任何一款RAT可以做到如此功能（站长评论：一点都不复杂，区分各种数据包头就行了，完全只用一个sock就行了）……
PcShare 也是使用了HTTP隧道双工，一个功能一个线程，两个Socket。
八大功能的意思就是说，有2*8=16个Socket连接隧道(应该不会这么恐怖吧)。
代码注入没啥好说的，就是经验了，自己跟踪一下就明白了。
Bifrost 的功能比 Flux 多一点，他是如何做到的？
插件！Plugin！当然他使用的不是LoadLibraryA来载入DLL的不然你就可以发现了……
用Bo2k的Plugin引入代码，将DLL映射到EXE进程中然后再加载调用……
很有意思吧(新版本的Poison Ivy据说也采用这个功能……)
Flux的Socket生存能力比Bifrost强一点，体积小一点，但是估计上线的数量不是很多
居然一个I/O输入输出模型都没有使用，汗！
[3]Poison Ivy 恐怖的家伙
以前就对Poison Ivy的结构感觉很神奇，体积这么小巧。
功能还可以这么完善，有点违反"能量守恒定律"难道shapeless技术高到如此境界？
IDA+OD拆了他……
由于几乎所有的API都是自己内存搜索的，不是使用GetProcAddress函数……
自己写的一个Hash函数，Crc32b Hash算法……
OD简单的跟踪了一下，发现Poison Ivy代码有些地方写的并不高明。
代码优化做的完全没有Spirit那么精致。(太精致了~)
代码一点都不优美，但是很容易OD跟踪分析，没有使用代码的编码优化技巧。
为什么说他恐怖，一开始认为和Bifrost一样，传输Plugin插件过去然后再控制……
经过OD三级跳分析后(先注入 Explorer.exe，小心使用OD跟踪下，程序很容易死循环，主要原因在于获取Explorer.exe进程始终返回0！但是他会一直再那里等，直到有Explorer.exe的存在，你可以自己手工跳转+填写Explorer.exe进程PID，设置为自己的记事本或者计算器，这样容易跟踪一些。)
抓包分析+冰刃观察，发现Poison Ivy居然不是传输Plugin做到的，自己观察下发现……
他第一次是直接传输功能代码过去。(数据包是压缩的，没有加密，NTDLL.RtlGetCompressionWorkSpaceSize，RtlCompressBuffer，RtlDecompressBuffer)
压缩数据了，你可以自己Dump出数据包，然后自己解压缩，然后试试看是不是。
都是明文了，效果不错，学习数据包结构了……
呼呼～，我喜欢他们的风格。
由于直接传输功能代码(第二次就不传输了)。
实在是太恐怖了，由于可记录，而且第二次就不需要再传输，所有功能都是本地实现。
想想会如何？哈哈～，是不是感觉很有意思……
和小弟以前做的一个主动功能型RAT一样(反向连接，加文件管理，进程管理功能后只有945字节，nasm写的)
主动功能型？再TT里面第一次看到drocon弄出来的，感觉这小胖子(x140d4n那里的来的消息他胖!)很厉害呀～
drocon现在主要做一些asm代码优化的工作，很不错的一些工作，比较喜欢他的编码风格。
特别是代码优化方面做的真的很不错……
PS：x140d4n啥时带我去见他呀……
接着说：Poison Ivy和Flux，Bifrost有一些不同。
支持文件多线程多文件同时传输，为了保证Socket的稳定性，他在文件传输时使用了多个Socket进行传输，其他的还是保留独立Socket。
同样采用多线程操作，但是似乎主控段的上线率不是很高，而且没有使用Thread Pool，所以线程切换浪费了太多的时间……
你可以观察一下，用冰刃打开注入进程，你每次刷新一下目录或者操作一次，是不是程序就多出一个线程？
哈哈～，而且Poison Ivy还有许多地方不太完善，但是现在变成VIP版本了，没有多少机会分析了。
唉～，谁让人家老外福利好呢，在家没事写东西卖钱，谁给我钱我也天天在家写……，乎乎~~
综上的结构看来，是不是感觉Poison Ivy代码是如何实现的还是一头雾水？
1.被控端连接主控段。
2.主控段发送主动功能代码给被控端。
3.被控端新建一块内存保存主动功能代码。这里有个BUG，当主控段重复发送功能代码的时候，他会不去释放直接申请内存保留主动功能代码……，居然都不释放，呼呼～
4.然后当主控段再次发送控制指令的时候，被控端，开始调用一开始接受的主动功能性代码。新建线程执行的，所以造成了大量的空余线程，似乎都没有使用CloseHandle关闭？？
5.还有什么好说的？自己Dump，然后看数据包吧……
转载保留版权，，/。
好了马上手术了，上传一篇以前写的烂文，有啥好的想法不妨跟贴……
本文“”，来自：，本文地址：，转载请注明作者及出处！到底是Lvy还是Ivy,哪个对并且告诉我意思和怎么读_百度作业帮
到底是Lvy还是Ivy,哪个对并且告诉我意思和怎么读
并且告诉我意思和怎么读
两个都对 但意思不一样哦 我也不知道怎么读就按拼音读吧lvy 是来自纽约的一个乐队，成队于1994年。主唱Dominique Durand是一个巴黎女孩。在纽约学习英文的时候结识了乐队的两个创始人Andy Chase和Adam Schlesinger。因为有共同的音乐品位，他们开始准备成立这一组合。而在此之前，Durand从来没有唱过歌。在同伴的鼓励下，她唱了乐队第一个小样"Can’t Even Fake It"。结果当然是令人吃惊的，她的乐感相当出色。于是IVY就这样诞生了。Ivy的音乐是以Durand的声线为主轴，各种乐器如众星拱月般衬托出她冷冽却带着笑意的迷人嗓音。不只是吉他，就连bass和套鼓听来都轻巧明亮又极具个性，每个环节都像指纹般鲜明。 LVY的本名是박은혜 中文名朴银惠 生日：日 星座：巨蟹座 血型：O 型 身高：165 厘米 体重：48 公斤 三围：B86cm W60cm H86cm ... 作品：鬼(花街神女)、侠女传奇(独孤九剑)飞女正传、玉女 剑、上帝三度来疯狂(非洲超人)怒海威龙、谍血柔情、危情追踪、女特警(在韩国拍摄) ... 在韩国歌坛，有几位音乐人可谓呼风唤雨，他们的一举一动都给歌坛带来各种影响。他们所推出的新人或者对哪位歌手进行的评价都会成为引导歌迷的重要参照。朴振英突然在短短一个月内捧出了两位倍受瞩目的新人女歌手，其中一位是榜上有名的林政姬，另一位比较神秘， 这位叫做IVY的女歌手首先通过性感奔放的MTV与观众见面。在MTV上，除了与IVY演对手戏的黑人男演员比较引人注目以外，我们还在MTV中看到了朴振英侨装打扮的身影。顿时引起了歌迷的猜测。这位新人女歌手的歌曲是否与朴振英有关。事实证明，IVY确实是朴振英力捧的新人。 朴振英将这位还未公开登台的新人女歌手誉为“女RAIN”。
lvyLvy是不可能的 如果是也是LVYIvy是什么意思,怎么读?_百度知道
Ivy是什么意思,怎么读?
常春藤联盟的[例句]Ivy league envy leads to an obsession with researchivy [英]ˈaɪvin.对常春藤盟校的羡慕导致了对于研究的着迷;vi[美]ˈa&#618. [植]常春藤adj
其他类似问题
ivy的相关知识
按默认排序
其他1条回答
【‘aivi】艾维，多用在女孩子名字，也是植物常春藤的意思。
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁美音:[&a?v?
英音:[&a?v?
n.常春藤 adj.常春藤联合会的,名牌大学的 Ivy 艾维(女子名)
ivy为短语/超纲词汇
名词复数:ivies
/'a?v?; `a?v?/n [U] any of various types of climbing evergreen plant, esp one with dark shiny five-pointed leaves 常春藤*[attrib 作定语] an ivy leaf 常春藤叶.
[U and C] [Language: Old E Origin: ifig]a climbing plant with dark green shiny leaves
使用国家:English
音标:IE-vee &
释义:From the English word for the climbing plant that has small yellow flowers. It is ultimately derived from Old English ifig.Ivyclub_百度百科
关闭特色百科用户权威合作手机百科
收藏 查看&Ivyclub
韩国校服品牌 ，现由EXO和代言（2014）所属行业校服国&&&&家韩国
2014年 EXO、Irene
2012年 EXO-K、
2010年 金秀贤
2003年 （、申彗星、）　　SUPER JUNIOR
2000年11月 Ivy club校服 相关资料：签约 Ivy Club(韩国校服公司)担任广告模特
2001年6月 FRJ广告 相关资料：签约 FRJ ()品牌服装广告模特 （6个月）
2001年11月 续约FRJ品牌服装广告模特（6个月）
签约IVY CLUB的广告模特
签约广告模特－Nongshim广告 N.I.B.S早期广告
签约影院广告模特一年
2002年5月 －FRJ
相关资料：FRJ续签神话。
2004年10月 －Ivy club校服广告
2005年1月 拍摄Rado手表广告
相关资料:2005年2月SHINHWA成为 Swtach旗下手表RADO代 言人（ 亚洲地区 ）
2005年3月－可口可乐广告
相关资料:神话以6个月5亿韩元的身价和可口可乐签约，成为该产品韩国代言人。据可口可乐方透露选中神话的原因是“神话是享誉亚洲的组合”因而有资格代表像可口可乐这样的国际大公司。
6月2日 2005年6月－Kyochon炸鸡广告
神话和桥村F&B（桥村炸鸡）签署了1年8亿的合约，并为其拍摄了TV和平面广告。11/05以神话名字命名的“桥村炸鸡神话店”在首尔江南开张，这家炸鸡店由神话共同经营。
10月 IVYCLUB
10月4日-10月10日 神话在龙山的一所高级中学结束了“IVY”制服CF的拍摄。这是神话第六年穿制服为ivy拍广告。
06年的神话IVY
Eric:NII2005春季
NII2005夏季
NII2005秋季
NII2005冬季
BON2005春夏
BON2005秋冬
BON2004秋冬
Giordano2004春装
Giordano2004夏装
Giordano2003秋冬Dominos pizza CF旧
Dominos Pizza新
2004年11月－ ‘Domino‘s Pizza‘ PLUSMINUS饮料
2005年4月－RotDeSamKang KuKu Cone 冰淇淋广告
2005年6月－Spam午餐肉广告
2005年5月－Line Age megapass网络
欧来雅广告
2000年11月 ‘常春藤俱乐部‘CF模特
2003年8月 TbyN CF模特
2005年12月 健康饮料CF
2003年9月－BROS广告
2005年10月JUNJIN代言 ZIPPYZIGGY秋冬服饰
2005年5月－Alloaeba (Aloe Vera) 冰棒
2004年9月－Okamja薯条
2003年9月－Intercrew
2004年11月－Kumyoung
2003年12月－休闲服装STORM
pokari sweet饮料
IVYCLUB广告(S组合)
2003年8月－Naknine
04_Naknine Photoshoot(chin)与申恩成服装拍摄
2005/01神话成员李珉宇开始了“双重生活”成为服饰商业家。
新手上路我有疑问投诉建议参考资料 查看