魔法学校的罗杰向他的同学演示他新学的黑魔法【fǎ】,远程安装【zhuāng】黑洞木马时,黑洞木马【mǎ】被《QQ医生》查杀,只见他念了一【yī】句咒语,再次远程安装黑洞木马,此时《QQ医生》毫无反应,犹如“木头人”一般。罗杰念的是什么咒语【yǔ】?什【shí】么黑魔法会这么厉害【hài】?
一、《QQ医生》靠特征码“吃饭”
现在网上的木马、盗号软件越来【lái】越多,所以各种QQ账号被盗的事件频频发生。由于在QQ安全保护上饱受用户批评【píng】,腾【téng】讯引入跟微软的Defender安全软件一样的机制,通过研发独立的安全软件来减少盗【dào】号的现象。《QQ医生》就【jiù】是其【qí】推出【chū】的一款【kuǎn】专门针对盗取【qǔ】QQ密码的软件,它【tā】能够准确的扫描用【yòng】户计算机上的盗号木马程序,并有效清除【chú】从而保护QQ账号的安全。
《QQ医生》主要包括三项功能,扫【sǎo】描检测木马病毒、扫描【miáo】检测系统漏【lòu】洞、扫描检测程序的完整性。当扫描未安装的木马程【chéng】序文件时,《QQ医生》并不会报警,只【zhī】在当木马安装运行后,才【cái】能检测到木马服务端的存在【zài】。
由此可以看出《QQ医生》是通过内存特征码来定位的,因此罗杰要想通过黑洞【dòng】木马成功的进行演示,就必须更改黑洞木【mù】马【mǎ】的内存特征码,只有这样才可以轻松【sōng】的【de】绕过《QQ医生》进行控制。
小提示:所谓内存特征码就是程序运行时内存地址,而杀毒软件就是通过【guò】这个地址对应的代码来进行病毒分析【xī】的,因此我们修改这个地址的代码就可以躲【duǒ】过杀毒软件的检测。
二、修改特征码绕过《QQ医生》
第一步:查找内存特征码
首先查找到【dào】木马的内存特征码,然后对特征码【mǎ】内容进行修改,这样《QQ医生》就无法【fǎ】通过病毒库中保存的特征码与木马的特【tè】征码进【jìn】行比对,这样【yàng】最终躲过杀毒软件的查杀。
要制作免杀【shā】黑洞【dòng】木【mù】马【mǎ】,先运行特征码检查程序MYCCL后,点击“文件”按钮选择服务端文件,并将“带后缀”选项前面的打勾选中。接着在“分块个数”选【xuǎn】项中设置设置10个(图1)。设置完成后点击“生成”按钮,就能在目【mù】录中【zhōng】生成相应的程序分块。
图1
由于是分析【xī】木马【mǎ】的内存特征码【mǎ】,因此必须将它加载到系统内存后才【cái】行。所以接着运行内存特征码分析程序TK.Loader,通过【guò】它载入木马服务端文件的分块【kuài】目录后,点击“全部载入”按钮即可【kě】将木马加载到系统内存,这时【shí】利用《QQ医生【shēng】》就能检测出【chū】木马的存在并查杀。在《QQ医生》查杀完成后返回MYCCL,再点击【jī】“二次处理”按钮后,就可以得到黑洞木马一个大概的特征码位置。
第二步:转换内存特征码
木马的特征码【mǎ】的大概范围知道以后,点击MYCCL主界面中的“特征区间”按钮,在出现的“填充/特征码 区间【jiān】设定”窗口中,选中刚刚找到的那段大【dà】的特征码【mǎ】以后,选中右键中的“复合定位此处【chù】特征”命令。然【rán】后对特征码继续进行分块等进一步的操作,最终得到特【tè】征码精确的文件【jiàn】地址00061BAF_00000002(图2)。
图2
由于《QQ医生》是通过内存特征码进行查杀,而00061BAF_00000002这个地【dì】址【zhǐ】只是特【tè】征码【mǎ】的文件地址,而当木马加载到系统内存后地址就会发生偏移,因此我们还需要【yào】将它转换为内存中的地址。
运行“偏移量转换器”,首先通过打开按【àn】钮设【shè】置木马程【chéng】序的路径,接着在“文件偏移”中输入特征码地址【zhǐ】,点击转换按钮在内存地址中得到特征码【mǎ】的内存地址(图3)。
图3
第三步:修改内存特征码
现在【zài】运行汇编程序【xù】OllyICE并载入黑洞木马服务端文件【jiàn】,接着通过滚动条向上移动找到【dào】内存特征码的地址,即004627AF。点击【jī】右键选【xuǎn】择“二进制”菜单中的“使用 NOP 填充”命令,这样就可以把特征【zhēng】码填充掉(图4)。然后选择右键中的“复制到可执行文件”,接着在它的子菜单中选择【zé】“选择部【bù】分”命令,然后在新窗口中点击鼠标右键,选择【zé】其【qí】中的“保存【cún】文件”命令后进行保存即可。
图4
第四步:黑洞木马的使用
免杀制【zhì】作完成后,就可以将木马安装【zhuāng】到远程系统,然后通过客户端成功连接到服务端,点击工具栏中需要的控制命令,比如远程桌面命令,然后在弹出的操【cāo】作窗口【kǒu】通过【guò】鼠标进行【háng】操作,就能在远程系统进行演【yǎn】示操作呢。
三、QQ安全不用愁
方法1:首先要加强Windows系统本身的安全防护能【néng】力。虽然【rán】《QQ医生》包括系统漏洞【dòng】检测功能【néng】,但是无法完整的检测出系统漏洞,这样就给大量的网页木【mù】马提供了可乘之机。因此【cǐ】用户最好通过系统自【zì】带的Windows Update功能来检测。另外【wài】,关闭Windows系统的自动播放功能,这样可【kě】以避免移动【dòng】设备来传播木马病毒等。
方法2:虽然《QQ医生》操作起【qǐ】来简单易用,但是目前仅【jǐn】为防止QQ盗号而研发,而不能代替其他的安全软件。同时软件也不具有实时监控功能,所以为了【le】保护自己的计算机的【de】安全【quán】,还需要配【pèi】合其他的专业防病【bìng】毒软件进【jìn】行使用。
攻防博弈
攻 黑客:《QQ医生》毕竟是一款小的【de】安全工具,不【bú】可能对所有【yǒu】的木马【mǎ】病毒进行查杀,轻【qīng】松的就突破了《QQ医生》的追杀,弄【nòng】得我们一点成就感都没有。我们还可以玩些有技术含量的,比如通过QQ空间进行跨站挂【guà】马【mǎ】,这样才能显【xiǎn】示出我们的技术能力。
防 编辑:针对《QQ医生》做免【miǎn】杀,我们可以用其他【tā】杀毒软件来破解。至于用QQ空间进行跨站挂马,我们【men】可以依靠杀毒软件【jiàn】的主动防御来防范。