攻防实战 如何绕过《QQ医生》的查杀

　　木马的特征码的大概范围知道以后，点击MYCCL主界面中的“特征区间”按钮，在出现的“填充/特征码 区间设定”窗口中，选中刚刚找到的那段大的特征码以后，选中右键中的“复合定位此处特征”命令。然后对特征码继续进行分块等进一步的操作，最终得到特征码精确的文件地址00061BAF_00000002(图2)。

图2

　　由于《QQ医生》是通过内存特征码进行查杀，而00061BAF_00000002这个地址只是特征码的文件地址，而当木马加载到系统内存后地址就会发生偏移，因此我们还需要将它转换为内存中的地址。

　　运行“偏移量转换器”，首先通过打开按钮设置木马程序的路径，接着在“文件偏移”中输入特征码地址，点击转换按钮在内存地址中得到特征码的内存地址(图3)。

图3