對最新QQ醫生 1.4版防毒方式的探討
軟體技術1.64W
QQ剛出了2007正式版的時候馬上就下了,QQ醫生功能上也做了改進,在後臺監視執行,今天上網的時候突然QQ醫生彈了出來,呵呵,報告了木馬。
汗!QQ2007正式版帶的QQ醫生功能還真的很強大,無聊之餘在學校要度過十一就對對這個小東西的防毒機制進行研究一下吧。正好我的盤裡有個黑洞2005,一個遠端控制軟體,以前幫朋友檢視電腦時候用的它,主要是螢幕傳輸好,現在也被列入木馬行列。本地執行一個看看QQ醫生是否殺呢,本地安裝了一下運行了一下如下圖,殺了出來,呵呵不錯,不用去找病毒樣本測試了,就拿它來測試了。
QQ醫生到底是怎麼防毒的呢?主動防禦型?可是我安裝的時候根本沒反映,我把黑洞服務端的殼很簡單用Upx ShellEx就給脫掉了,把裡面的所有登錄檔啟動,服務啟動之類的字串全部用0填充了,如下圖
紅色的部分原來是寫登錄檔的地方全部00填充了,其他能找到的部分也填充了,重新生成並且執行依然被檢測了出來,這個小東西不可能用主動防禦那中技術,真懷疑。猜測是記憶體查殺特徵。
程式執行在記憶體裡的是相當於無殼裝載的,用PEID查了下殼是UPX加的,很簡單用工具就脫了,用OD載入無殼的被查了出來,載入個帶殼的餓就不殺,瑞星的記憶體查殺有無殼OD載入都殺的。還是有點疑惑,既然無殼的被查出是毒,那就一個特徵定位工具定位一下,如果後成功的定位出了特徵碼,那就說明QQ醫生的確是記憶體查殺。
用到的工具er(記憶體輔助定位工具)和MYCLL,設定的時候注意,最好少分成幾塊,我先生成了50個,少這樣容易檢視,因為很大一部分要手工來完成。還要”在“帶字尾”前邊打上鉤,要麼不能載入到記憶體。這個工具的使用方法網路上有許多。是小黑們木馬免殺的利器。簡單介紹下MYCLL和ER,MYCLL是把檔案分成N個部分,然後N個部分裡面分別用00填充,之後就生成了N個檔案,其實是一種排除方法,而ER負責把帶字尾的檔案載入到記憶體,這樣好在記憶體中檢測。MYCLL介面如下,
在MYCLL目錄下的OUTPUT目錄裡生成了50個檔案
之後用ER載入記憶體, 如下圖
之後QQ醫生掃描,如圖5
之後在OUTPUT資料夾下,把查出來的都刪除掉,點二次處理,繼續定位重複上面的操作,最後成功的定位出一出特徵
最後定位出如下的結果:
特徵碼 實體地址/物理長度 如下:
[特徵] 00061BAE_00000002
特徵碼分佈示意圖:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[-------------------M------------------------------]
[--------------------------------------------------]
用接下來OC把檔案偏移轉換成記憶體地址,如下圖(圖)
OD載入那個檔案,跳到004627AE處,把它用NOP替換掉,儲存,載入,QQ醫生查不出來了,由此得出了結論,QQ醫生是採用記憶體查殺特徵的方式,也是取特徵碼防毒。
最後分析了下,為什麼QQ醫生查不出OD載入帶殼的,因為它和瑞星不一樣瑞星有脫殼引擎,QQ醫生沒有,所以只能殺OD載入無殼的了。
汗!QQ2007正式版帶的QQ醫生功能還真的很強大,無聊之餘在學校要度過十一就對對這個小東西的防毒機制進行研究一下吧。正好我的盤裡有個黑洞2005,一個遠端控制軟體,以前幫朋友檢視電腦時候用的它,主要是螢幕傳輸好,現在也被列入木馬行列。本地執行一個看看QQ醫生是否殺呢,本地安裝了一下運行了一下如下圖,殺了出來,呵呵不錯,不用去找病毒樣本測試了,就拿它來測試了。
QQ醫生到底是怎麼防毒的呢?主動防禦型?可是我安裝的時候根本沒反映,我把黑洞服務端的殼很簡單用Upx ShellEx就給脫掉了,把裡面的所有登錄檔啟動,服務啟動之類的字串全部用0填充了,如下圖
紅色的部分原來是寫登錄檔的地方全部00填充了,其他能找到的部分也填充了,重新生成並且執行依然被檢測了出來,這個小東西不可能用主動防禦那中技術,真懷疑。猜測是記憶體查殺特徵。
程式執行在記憶體裡的是相當於無殼裝載的,用PEID查了下殼是UPX加的,很簡單用工具就脫了,用OD載入無殼的被查了出來,載入個帶殼的餓就不殺,瑞星的記憶體查殺有無殼OD載入都殺的。還是有點疑惑,既然無殼的被查出是毒,那就一個特徵定位工具定位一下,如果後成功的定位出了特徵碼,那就說明QQ醫生的確是記憶體查殺。
用到的工具er(記憶體輔助定位工具)和MYCLL,設定的時候注意,最好少分成幾塊,我先生成了50個,少這樣容易檢視,因為很大一部分要手工來完成。還要”在“帶字尾”前邊打上鉤,要麼不能載入到記憶體。這個工具的使用方法網路上有許多。是小黑們木馬免殺的利器。簡單介紹下MYCLL和ER,MYCLL是把檔案分成N個部分,然後N個部分裡面分別用00填充,之後就生成了N個檔案,其實是一種排除方法,而ER負責把帶字尾的檔案載入到記憶體,這樣好在記憶體中檢測。MYCLL介面如下,
在MYCLL目錄下的OUTPUT目錄裡生成了50個檔案
之後用ER載入記憶體, 如下圖
之後QQ醫生掃描,如圖5
之後在OUTPUT資料夾下,把查出來的都刪除掉,點二次處理,繼續定位重複上面的操作,最後成功的定位出一出特徵
最後定位出如下的結果:
特徵碼 實體地址/物理長度 如下:
[特徵] 00061BAE_00000002
特徵碼分佈示意圖:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[-------------------M------------------------------]
[--------------------------------------------------]
用接下來OC把檔案偏移轉換成記憶體地址,如下圖(圖)
OD載入那個檔案,跳到004627AE處,把它用NOP替換掉,儲存,載入,QQ醫生查不出來了,由此得出了結論,QQ醫生是採用記憶體查殺特徵的方式,也是取特徵碼防毒。
最後分析了下,為什麼QQ醫生查不出OD載入帶殼的,因為它和瑞星不一樣瑞星有脫殼引擎,QQ醫生沒有,所以只能殺OD載入無殼的了。
-
抖音密友時刻是所有好友可見嗎?抖音密友時刻會暴露相簿嗎?
我們在玩抖音的時候是不是經常會看見上面顯示一個密友時刻,也就是說大家可以隨時隨地分享自己的趣事,不過也有的人不清楚抖音密友時刻是不是好友都可以看見,還是隻有互相發的人看見呢?抖音密友時刻是所有好友可見嗎?抖音密友時刻不是所有好友可見,其功能是使用者在好友...
-
2023雙十一尾款最晚什麼時候支付?雙十一尾款滿減包括定金嗎?
今天是31號了,也到了雙十一付尾款的時間了,不過對於淘寶的滿減規則真的是看得頭暈,比如今晚的付尾款的時候大家知道最晚什麼時候可以支付嗎?雙十一尾款可以分期嗎?下面就和小編一起來看看吧。2023雙十一尾款最晚什麼時候支付?2023年天貓雙十一尾款在10月31日晚20點開...
-
大學搜題醬可以免費搜多少題?大學搜題醬搜題有次數限制嗎?
大學搜題醬對於大學生們來說真的是一個神器了,考試的時候隨便一搜答案就出來了,而且還不被發現,不過這個大學搜題醬有沒有次數限制呢?上限了怎麼辦呢?下面就和小編一起來看看吧。大學搜題醬可以免費搜多少題?無限制的,可以免費一直搜的。這個神器每天都能免費搜題無限...
-
趣智校園怎麼換學校?趣智校園如何重新繫結學校教程
這幾天正好是開學的日子,趣智校園作為一款熱水服務應用,對於需要熱水的小夥伴們來說還是很剛需的,不過很多人在使用的時候不清楚怎麼去換學校,下面一起來看看相關的教程。趣智校園怎麼換學校?趣智校園可以在使用者管理中心,選擇要更換的學校,並重新繫結新學校的課程資料...