科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道攻击技术之 如何绕过《QQ医生》的查杀(1)

攻击技术之 如何绕过《QQ医生》的查杀(1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

魔法学校的罗杰向他的同学演示他新学的黑魔法,远程安装黑洞木马时,黑洞木马被《QQ医生》查杀,只见他念了一句咒语,再次远程安装黑洞木马,此时《QQ医生》毫无反应,犹如“木头人”一般。罗杰念的是什么咒语?什么黑魔法会这么厉害?

作者:论坛整理 来源:zdnet网络安全 2008年1月28日

关键字:

  • 评论
  • 分享微博
  • 分享邮件
魔法学校的罗杰向他的同学演示他新学的黑魔法,远程安装黑洞木马时,黑洞木马被《QQ医生》查杀,只见他念了一句咒语,再次远程安装黑洞木马,此时《QQ医生》毫无反应,犹如“木头人”一般。罗杰念的是什么咒语?什么黑魔法会这么厉害?

  一、《QQ医生》靠特征码“吃饭”

  现在网上的木马、盗号软件越来越多,所以各种QQ账号被盗的事件频频发生。由于在QQ安全保护上饱受用户批评,腾讯引入跟微软的Defender安全软件一样的机制,通过研发独立的安全软件来减少盗号的现象。《QQ医生》就是其推出的一款专门针对盗取QQ密码的软件,它能够准确的扫描用户计算机上的盗号木马程序,并有效清除从而保护QQ账号的安全。

  《QQ医生》主要包括三项功能,扫描检测木马病毒、扫描检测系统漏洞、扫描检测程序的完整性。当扫描未安装的木马程序文件时,《QQ医生》并不会报警,只在当木马安装运行后,才能检测到木马服务端的存在。

  由此可以看出《QQ医生》是通过内存特征码来定位的,因此罗杰要想通过黑洞木马成功的进行演示,就必须更改黑洞木马的内存特征码,只有这样才可以轻松的绕过《QQ医生》进行控制。

  小提示:所谓内存特征码就是程序运行时内存地址,而杀毒软件就是通过这个地址对应的代码来进行病毒分析的,因此我们修改这个地址的代码就可以躲过杀毒软件的检测。

  二、修改特征码绕过《QQ医生》

  第一步:查找内存特征码

  首先查找到木马的内存特征码,然后对特征码内容进行修改,这样《QQ医生》就无法通过病毒库中保存的特征码与木马的特征码进行比对,这样最终躲过杀毒软件的查杀。

  要制作免杀黑洞木马,先运行特征码检查程序MYCCL后,点击“文件”按钮选择服务端文件,并将“带后缀”选项前面的打勾选中。接着在“分块个数”选项中设置设置10个(图1)。设置完成后点击“生成”按钮,就能在目录中生成相应的程序分块。

攻防实战 如何绕过《<a class='Channel_KeyLink' href='http://www.05112.com/'>QQ</a>医生》的查杀1

图1

  由于是分析木马的内存特征码,因此必须将它加载到系统内存后才行。所以接着运行内存特征码分析程序TK.Loader,通过它载入木马服务端文件的分块目录后,点击“全部载入”按钮即可将木马加载到系统内存,这时利用《QQ医生》就能检测出木马的存在并查杀。在《QQ医生》查杀完成后返回MYCCL,再点击“二次处理”按钮后,就可以得到黑洞木马一个大概的特征码位置

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章