Очень часто вижу вопросы о документации по данному бэкдору на русском языке. Вот, нашёл и выкладываю.Пользуйтесь.

I. Описание и возможности
Poison Ivy - это продвинутое средство удалённого администрирования для Windows (сообщали, что
клиент работает под WINE и другими эмуляторами в различных Linux/UNIX системах),
написанное на чистом ассемблере (сервер) и Delphi (клиент).
Сервер полностью независим и работает на 2000/XP/2003/Vista системах.
Начиная с версии 2.3.0, размер сервера зависит от настроек, которые вводят дополнительные
функции (такие как клавиатурный шпион и т.д.), увеличивающие финальный размер сервера.
Даже при этих условиях максимальный размер сервера в неупакованном виде около 7 килобайт.
Являясь независимым кодом, конструктор сервера может генерировать исполняемые PE файлы
или шеллкод (в виде массивов для С, Delphi, Python или необработанного двоичного файла), в
зависимости от того, что вам нужно.
Наиболее важные возможности: зашифрованный процесс передачи информации (256bit Camellia),
сжатие передаваемой информации, полноценный менеджер файлов, менеджер реестра,
клавиатурный шпион, менеджер сервисов, прокси сервер, менеджер процессов, менеджер
устройств, удалённый захват звука, захват экранного изображения, захват изображения с веб-
камеры, множественная синхронная передача данных, менеджер паролей, возможность
распределить доступ к серверу между несколькими клиентами, указав каждому права доступа, и
некоторые другие вещи, которые могут показаться вам полезными.
Сервер Poison Ivy специальным образом сопоставляется с подобными средствами на стороне
клиента, поэтому сервер не нуждается в обновлении, даже если будут добавлены новые функции.
Хотя сервер поддерживает сторонние плагины, важно знать, что все возможности, не
перечисленные в секции «Plugins», встроены в сервер и никакие дополнительные файлы не
используются.
Плагины (так же, как, при указании в настройках, сервер и файл клавиатурного шпиона) хранятся
в зашифрованном виде в ADS (альтернативный поток данных) на NTFS разделе (они хранятся в
обычном виде на FAT32).
Посмотрите скриншоты на официальном сайте.
Этот документ не описывает всё разнообразие функций программного продукта, он охватывает
основное.
Графический интерфейс интуитивно понятен, неопытным пользователям не составит проблем
разобраться во всех возможностях и использовать программу в полном объёме.
С другой стороны, пользователям, которым недостаёт навыков работы с сетью (перенаправление
портов, понимание сущности порта, понимание как происходит работа клиент-серверной
программы) рекомендуется овладеть этими знаниями до использования Poison Ivy.

II.  Создание сервера
Чтобы создать сервер, вам нужно запустить программу и выбрать “File” -> “New Server”.
Вы увидите окно подобное этому:
Как вы видели выше, вы можете легко управлять вашими профилями.
В первую очередь вам нужно создать новый профиль, нажав “Create Profile” и указав название.
Необходимо отметить, что в процессе создания профиля вам нужно задать настройки в каждой
секции по очереди (сверху вниз, остальные секции в это время недоступны). После создания
профиля вы можете изменять что угодно в любой секции.
Так сделано преднамеренно, чтобы не допустить пропуск секции по недоразумению.
Далее, в секции “Connection”, вы увидите что-то вроде этого:

Так как PI - это средство администрирования с “обратным соединением”, вам нужно определить
как минимум одну действительную комбинацию DNS/IP и порта, по которым сервер будет искать
клиент, ожидающий входящее соединение. Вы можете сделать это кнопкой “Add”.
После того, как вы всё настроили, обычно хорошая идея – протестировать соединение, нажав “Test
Connection” (чтобы это работало, клиент должен прослушивать определённый ранее порт с
правильным паролем, DNS/IP должен быть правильным и указывать на клиент).
Паролем может быть определяемая пользователем строка, или вы можете использовать случайно
генерируемый ключевой файл (рекомендуется).
Ключевой файл будет сохранён в директории “Profiles” и будет назван <названиепрофиля>.pik.
В любом случае, потеря вашего пароля/ключа сделает невозможным соединение с определённым
сервером.
Начиная с версии 2.3.0, сервер может быть назначен в группу для удобства управления.

Нажмите внизу “Next ->” чтобы перейти в секцию “Install”.

Секция “Advanced”:
Опция “Persistence” отвечает за то, будет ли сервер следить за процессом браузера по умолчанию
(или другим процессом, который может быть задан тут же) и перезапускать его, если он будет
закрыт, а также будет ли следить за сохранностью записей реестра, отвечающих за автозапуск.
Это также держит файл сервера заблокированным (чтобы не допустить удаление), в то время как
сервер фактически исполняется в других процессах.
Если вы не знаете, что означают некоторые опции, лучше оставить их как есть.
Касательно шелкода, он оканчивается на 'ret', это означает, что в конце исполения кода не будет
вызвана функция ExitProcess.
В заключение, в секции “Build” вы можете выбрать иконку (это значительно увеличит размер
сервера) и, если необходимо, запустить другую программу, например, чтобы сжать сервер.
Если вы выбрали иконку, и вы хотите возвратиться к состоянию 'без иконки', правый клик на
квадратике с иконкой.
Последний шаг – нажать “Build” и сохранить ваш сервер туда, куда укажите.
Профиль автоматически сохранится.

III.  Приём соединений
Чтобы надлежащим образом принимать соединения, вы должны настроить вашу сеть, т.е.
пробросить порт, если это необходимо, сделать “дырку”' в брандмауэре, убедиться, что ваш
персональный брандмауэр позволяет Poison Ivy “слушать” порт и т.д. Эти приготовления выходят
за рамки данного документа.
Запустите клиент, и нажмите “File” -> “New Client”:
Введите порт, пароль / ключевой файл, которые вы указали, создавая сервер, и нажмите “Start”.
Вы можете держать запущенными сразу несколько клиентов, слушающих разные порты, с
разными паролями и т.д.
Теперь вы готовы принимать соединения, которые будут появляться в списке.
Чтобы использовать сервер, дважды кликните по соединению.
Правый клик по соединению покажет различные опции.

IV.  Некоторые моменты использования
Как уже сообщалось, графический интерфейс очень интуитивно понятен и большинство кнопок и
других элементов интерфейса не имеют текстового описания, а имеют всплывающую подсказку.
Основное правило списков – что правый клик показывает опции.
Если соединение появляется в списке красным, это значит, что сервер устарел.
Чтобы получить преимущества новых возможностей, и обновить сервер, просто перезапустите его
(правый клик и выберите “Restart”).
Чтобы отобразить текущие передачи, когда используете сервер, есть кнопка вверху окна (с
соответствующим всплывающим пояснением).
Когда включён показ передач, вы можете приостанавливать/отменять передачи.
Аутентификация основана на стратегии идентификации входящего соединения путём проверки
правильности его реакции на непредсказуемый запрос клиента, так что клиент неуязвим к атакам,
основанным на посылке повторяющихся одинаковых пакетов (каждый раз запрос это случайный
набор данных).
Клиент имеет предел соединений (довольно большой), который предназначен для предотвращения
злоупотребления программой (ботнеты и т.д.).
Знайте, что изменение сервера в любом виде может привести к нестабильности.
Автор не предоставляет помощь какого-либо вида, если вы изменяли сервер.
V.  Система плагинов
На стороне сервера плагины хранятся в зашифрованном виде в ADS (на NTFS).
Старые версии плагинов на стороне сервера обновляются автоматически, если клиент имеет более
свежую версию.
Для загрузки плагина нажмите “File” -> “Manage Plugins”.
Кликните кнопку “Load” и выберите файл оканчивающийся на “C”, например mypluginC.dll. “C” в
конце значит, что эта dll для клиента.
Чтобы плагин  успешно загрезился, соответствующая серверная dll должна лежать в той же папке.
В пакете PI есть SDK для плагинов, пример плагина и его исходный код.
Вы можете писать свои плагины на основе этой информации.

VI.  Часто задаваемые вопросы
В: Я не могу разархивировать содержимое архива или не могу запустить клиент.
O: Вероятно, у вас работает антивирусное ПО. Отключите его и попробуйте снова.
В: Удалённый сервер работал хорошо, пока неожиданно не исчез, и я не могу теперь соединиться.
O: Другой пользователь возможно использует антивирусное ПО, которое обнаруживает сервер и
удаляет его.
В: Кажется клиент производит соединение куда-то. Что происходит?
O: По умолчанию, клиент производит соединение с сайтом poison ivy и получает номер последней
версии, и сравнивает его с номером используемой версии. Если у вас устаревшая версия, вы будете
уведомлены. Это может быть отключено в “Preferences”.
В: Когда извлекается файл клавиатурного шпиона, его разбор/отображение занимает очень много
времени.
O: Для очень длинных файлов клавиатурного шпиона (зависит от вашего процессора), вы можете
отключить 'Key log colors' в настройках.
В: Иногда проходит очень много времени перед тем, как сервер производит соединение, даже если
компьютер в онлайне.
O: Это потому что интервал, с которым сервер пытается установить соединение с клиентом,
динамический, и вы, вероятно, запустили клиент в процессе большого интервала. Будьте
терпеливы.
В: Я модифицировал файл клиента (в любом виде), и он больше не работает.
O: Как сказано выше, не модифицируйте клиентскую программу каким-либо образом. Заново
скачайте её.
В: Могу ли я запаковать/закриптовать сервер?
O: Под свою ответственность. Только если знаете что делаете.
В: Я запаковал/закриптовал/модифицировал сервер, и он стал нерабочим.
O: Некоторые упаковщики портят сервер. Это не проблема Poison Ivy.
В: Я нашёл ошибку. Что я должен сделать?
O: Если вы уверены, что это ошибка, а не что-либо другое, напишите на форуме точное описание
проблемы и список действий, которые гарантированно вызовут ошибку.
В: Что такое “Camellia encryption”?
O: Camellia это блочный шифр, и он был выбран, потому что он бесплатный и незапатентованный
и обеспечивает очень высокий уровень безопасности. Вы можете найти официальный документ,
описывающий эту технологию на сайте Poison Ivy.

VII.  Уникальные версии
Вы можете купить необнаруженную антивирусами, уникальную версию Poison Ivy.
Это окажет помощь проекту, который предлагает свои разработки бесплатно, и поможет оплатить
хостинг и другие расходы.
В таком случае вам предоставят другую версию, если текущая стала обнаруживаться
антивирусными программами.
Вам не нужно беспокоиться об будущих версиях; как сказано ранее, сервера нужно обновлять
очень редко (в случаях, когда изменится главный протокол), поэтому Poison Ivy будет работать без
проблем. Если это случится, вы получите новую версию.
Чтобы узнать цены и другие детали, свяжитесь с автором.
VII.  Список участников проекта и контактная информация
Poison Ivy написана shapeless.
Бета тестеры: Crazy Boris, eNerGie, e-e, giuliano, Heike, hnZ^, Lord, p0ke, redlime, SpyDir.
Также благодарность: ksv, Andvare, Aphex, Billy Belceb, Caecigenus, Erwan, Gary Darby, Geiger
Tamas, Joachim Bauch, Laszlo Toth, Mark James (famfamfam.com), Markus Stephany, Mike Lischke,
p0ke, Salvatore Meschini, Th3ChaS3r, TM.
Перевод документа на русский язык сделан Wii, специально для сайтов
http://poisonivy-rat.com и http://ratforge.net
Большое спасибо всем пользователям, которые помогли с советами как сделать Poison Ivy лучше.

IX.  История изменений
[+] – Добавлено
[-]  – Удалено
[*] – Исправлено
v2.3.2
[*] Исправлена ошибка возникавшая при использовании одновременно ActiveX и HKLM типов
автозапуска.
[*] Сервер теперь удаляет HKLM запись автозапуска, когда производит самоудаление.
[*] Исправлена ошибка при сохранении снимка экрана, которая возникала у некоторых
пользователей.
v2.3.1
[+] Менеджер устройств.
-> Сохранение в файл.
-> Включение/Отключение/Безопасное удаление.
-> Показать информацию.
-> Показать скрытые устройства.
[+] Отображение ADS в файловом менеджере.
[+] Раскрыть/Свернуть дерево в менеджерах файлов и реестра.
[+] Уменьшенное изображение рабочего стола (обновляется с каждым обновлением соединения
или вручную), изменение размера в настройках.
[+] Копирование профиля.
[+] Автозапуск через HKLM/run.
[+] Проигрывать звук при новом соединении.
[+] Дата в логе соединений.
[+] Выбор физического выравнивания секций в сервере.
[+] Выбор копировать ли файл в ADS.
[-] Разделение доступа: внедрение в другой процесс.
[*] Теперь нет необходимости перезапуска серверов при соединении с устаревшим клиентом.
[*] Теперь возможно создание серверов, которые не производят внедрение в браузер по
умолчанию, а исполняются в собственном процессе.
[*] Изменены правила использования.
[*] При загрузке на удалённую машину файла, который там уже существует (но не в кэше),
перезапись будет произведена правильно.
[*] Обновление теперь работает с серверами, которые имеют различные инсталляционные пути.
[*] Исправлена ошибка при быстром нажатии Cancel в диалоге скачивания, приводящая к
обращению в неправильную область памяти.
[*] Автозапуск с помощью ActiveX теперь работает и на ограниченных учётных записях (но он
должен быть установлен на учётной записи с администраторскими привилегиями).
[*] Тестовое соединение с ключевым файлом теперь работает.
[*] Очистка статистики теперь не удаляет счётчик количества активных соединений.
[*] Клиент теперь способен контролировать большее количество активных соединений.
[*] Исправлена ошибка с загрузкой/сохранением в редакторе DNS/порта.
[*] Генератор ключевого файла имел ошибку, приводящую к генерированию слабых паролей.
[*] Исправлена ошибка, которая делала невозможным разделение доступа к серверу (ошибка в
версии 2.3.0).
[*] При автосохранении изображений экрана теперь в названия файлов добавляется время захвата
изображения.

v2.3.0
[+] Новый пользовательский интерфейс.
-> Прослушивание множества портов.
-> Сохранение и загрузка настроек в виде профилей.
-> Запуск сторонних приложений после генерации сервера.
-> Настройка столбцов листа соединений.
-> Объединение соединений в группы.
[+] Ключевой файл в роли пароля.
[+] Лог соединений.
[+] Подсветка типов файлов файловом менеджере и в режиме поиска.
[+] Направление соединений через HTTP прокси (возможно сочетать HTTP и Shocks4 прокси).
[+] Обнаружение прокси; соединение через HTTP или Socks4 прокси взятые из Internet Explorer.
[+] Файл сервера и ВСЕ файлы (файл клавиатурного шпиона и плагины) размещаются на диске в
ADS инсталляционной директории.
[+] Возможность показывать/выгружать модули в менеджере прцессов.
[+] Сервер в виде шеллкода. Генерирование шеллкода сервера в видах: двоичный, массив С,
массив Python и массив Delphi.
[+] Поддержка плагинов.
-> Плагины будут расположены в ADS инсталляционной директории (если NTFS).
-> Возможность хранить их удалённо.
-> Удалённая dll (на стороне сервера) будет загружена в память и зашифрована на диске.
-> Удалённая dll  будет автоматически обновлена, если будет доступна более новая локальная
вресия.
[+] Запуск файлов с параметрами.
[+] Примечания.
[-] Анализатор пакетов был удалён.
[*] При создании сервера идентификатор и название группы теперь длиной 255 символов.
[*] Исправлена ошибка при удалении сервера на ограниченных учётных записях, когда
использовался автозапуск.
[*] Когда сервер отсоединяется, перед удалением соединения клиент ждёт, пока все потоки будут
завершены.
[*] Исправлена ошибка при скачивании дисков используя возможность скачивания директории.
[*] Тестовое соединение теперь работает в отдельном потоке, и вы можете отменить
тестирование, нажав OK или Cancel.
[*] Тестовым соединением теперь проверяется правильность пароля (не с DNS прокси).
[*] Исправлена ошибка с автозапуском, когда explorer.exe перезапускался.
[*] Исправлена ошибка, приводящая к доступу в неправильную область памяти, при передаче
данных.
[*] Автоматическое сохранение в Audio Capture теперь добавляет время начала и конца записи в
название файла.
[*] Директории, начинающиеся на ".", теперь видны в файловом менеджере.

Удачи!=)