科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道攻击技术之 如何绕过《QQ医生》的查杀(2)

攻击技术之 如何绕过《QQ医生》的查杀(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

魔法学校的罗杰向他的同学演示他新学的黑魔法,远程安装黑洞木马时,黑洞木马被《QQ医生》查杀,只见他念了一句咒语,再次远程安装黑洞木马,此时《QQ医生》毫无反应,犹如“木头人”一般。罗杰念的是什么咒语?什么黑魔法会这么厉害?

作者:论坛整理 来源:zdnet网络安全 2008年1月28日

关键字: 木马 QQ 攻击防范

  • 评论
  • 分享微博
  • 分享邮件
第二步:转换内存特征码

  木马的特征码的大概范围知道以后,点击MYCCL主界面中的“特征区间”按钮,在出现的“填充/特征码 区间设定”窗口中,选中刚刚找到的那段大的特征码以后,选中右键中的“复合定位此处特征”命令。然后对特征码继续进行分块等进一步的操作,最终得到特征码精确的文件地址00061BAF_00000002(图2)。

 攻防实战 如何绕过《<a class='Channel_KeyLink' href='http://www.05112.com/'>QQ</a>医生》的查杀2

图2

  由于《QQ医生》是通过内存特征码进行查杀,而00061BAF_00000002这个地址只是特征码的文件地址,而当木马加载到系统内存后地址就会发生偏移,因此我们还需要将它转换为内存中的地址。

  运行“偏移量转换器”,首先通过打开按钮设置木马程序的路径,接着在“文件偏移”中输入特征码地址,点击转换按钮在内存地址中得到特征码的内存地址(图3)。

 攻防实战 如何绕过《<a class='Channel_KeyLink' href='http://www.05112.com/'>QQ</a>医生》的查杀3

图3

第三步:修改内存特征码

  现在运行汇编程序OllyICE并载入黑洞木马服务端文件,接着通过滚动条向上移动找到内存特征码的地址,即004627AF。点击右键选择“二进制”菜单中的“使用 NOP 填充”命令,这样就可以把特征码填充掉(图4)。然后选择右键中的“复制到可执行文件”,接着在它的子菜单中选择“选择部分”命令,然后在新窗口中点击鼠标右键,选择其中的“保存文件”命令后进行保存即可。

 攻防实战 如何绕过《<a class='Channel_KeyLink' href='http://www.05112.com/'>QQ</a>医生》的查杀4

图4

  第四步:黑洞木马的使用

  免杀制作完成后,就可以将木马安装到远程系统,然后通过客户端成功连接到服务端,点击工具栏中需要的控制命令,比如远程桌面命令,然后在弹出的操作窗口通过鼠标进行操作,就能在远程系统进行演示操作呢。

  三、QQ安全不用愁

  方法1:首先要加强Windows系统本身的安全防护能力。虽然《QQ医生》包括系统漏洞检测功能,但是无法完整的检测出系统漏洞,这样就给大量的网页木马提供了可乘之机。因此用户最好通过系统自带的Windows Update功能来检测。另外,关闭Windows系统的自动播放功能,这样可以避免移动设备来传播木马病毒等。  

  方法2:虽然《QQ医生》操作起来简单易用,但是目前仅为防止QQ盗号而研发,而不能代替其他的安全软件。同时软件也不具有实时监控功能,所以为了保护自己的计算机的安全,还需要配合其他的专业防病毒软件进行使用。

  攻防博弈

   黑客:《QQ医生》毕竟是一款小的安全工具,不可能对所有的木马病毒进行查杀,轻松的就突破了《QQ医生》的追杀,弄得我们一点成就感都没有。我们还可以玩些有技术含量的,比如通过QQ空间进行跨站挂马,这样才能显示出我们的技术能力。

   编辑:针对《QQ医生》做免杀,我们可以用其他杀毒软件来破解。至于用QQ空间进行跨站挂马,我们可以依靠杀毒软件的主动防御来防范。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章