如何繞過《QQ醫生》的查殺

所屬主題：QQ攻防系列
　　殺傷力值：★★★☆
　　操作難度：簡單
　　適合讀者：普通讀者

魔法學校的羅傑向他的同學演示他新學的黑魔法，遠程安裝黑洞木馬時，黑洞木馬被《QQ醫生》查殺，只見他念了一句咒語，再次遠程安裝黑洞木馬，此時《QQ醫生》毫無反應，猶如“木頭人”一般。羅傑唸的是什麼咒語?什麼黑魔法會這麼厲害?

一、《QQ醫生》靠特徵碼“吃飯”

現在網上的木馬、盜號軟件越來越多，所以各種QQ賬號被盜的事件頻頻發生。由於在QQ安全保護上飽受用戶批評，騰訊引入跟微軟的Defender安全軟件一樣的機制，通過研發獨立的安全軟件來減少盜號的現象。《QQ醫生》就是其推出的一款專門針對盜取QQ密碼的軟件，它能夠準確的掃描用戶計算機上的盜號木馬程序，並有效清除從而保護QQ賬號的安全。

《QQ醫生》主要包括三項功能，掃描檢測木馬病毒、掃描檢測系統漏洞、掃描檢測程序的完整性。當掃描未安裝的木馬程序文件時，《QQ醫生》並不會報警，只在當木馬安裝運行後，才能檢測到木馬服務端的存在。

由此可以看出《QQ醫生》是通過內存特徵碼來定位的，因此羅傑要想通過黑洞木馬成功的進行演示，就必須更改黑洞木馬的內存特徵碼，只有這樣纔可以輕鬆的繞過《QQ醫生》進行控制。

小提示：所謂內存特徵碼就是程序運行時內存地址，而殺毒軟件就是通過這個地址對應的代碼來進行病毒分析的，因此我們修改這個地址的代碼就可以躲過殺毒軟件的檢測。

二、修改特徵碼繞過《QQ醫生》

第一步：查找內存特徵碼

首先查找到木馬的內存特徵碼，然後對特徵碼內容進行修改，這樣《QQ醫生》就無法通過病毒庫中保存的特徵碼與木馬的特徵碼進行比對，這樣最終躲過殺毒軟件的查殺。

要製作免殺黑洞木馬，先運行特徵碼檢查程序MYCCL後，點擊“文件”按鈕選擇服務端文件，並將“帶後綴”選項前面的打勾選中。接着在“分塊個數”選項中設置設置10個(圖1)。設置完成後點擊“生成”按鈕，就能在目錄中生成相應的程序分塊。

圖1

由於是分析木馬的內存特徵碼，因此必須將它加載到系統內存後才行。所以接着運行內存特徵碼分析程序er，通過它載入木馬服務端文件的分塊目錄後，點擊“全部載入”按鈕即可將木馬加載到系統內存，這時利用《QQ醫生》就能檢測出木馬的存在並查殺。在《QQ醫生》查殺完成後返回MYCCL，再點擊“二次處理”按鈕後，就可以得到黑洞木馬一個大概的特徵碼位置。

第二步：轉換內存特徵碼

木馬的特徵碼的大概範圍知道以後，點擊MYCCL主界面中的“特徵區間”按鈕，在出現的“填充/特徵碼 區間設定”窗口中，選中剛剛找到的那段大的特徵碼以後，選中右鍵中的“複合定位此處特徵”命令。然後對特徵碼繼續進行分塊等進一步的操作，最終得到特徵碼精確的文件地址00061BAF_00000002(圖2)。

 

圖2

由於《QQ醫生》是通過內存特徵碼進行查殺，而00061BAF_00000002這個地址只是特徵碼的文件地址，而當木馬加載到系統內存後地址就會發生偏移，因此我們還需要將它轉換爲內存中的地址。

運行“偏移量轉換器”，首先通過打開按鈕設置木馬程序的路徑，接着在“文件偏移”中輸入特徵碼地址，點擊轉換按鈕在內存地址中得到特徵碼的內存地址(圖3)。

 

圖3

第三步：修改內存特徵碼

現在運行彙編程序OllyICE並載入黑洞木馬服務端文件，接着通過滾動條向上移動找到內存特徵碼的地址，即004627AF。點擊右鍵選擇“二進制”菜單中的“使用 NOP 填充”命令，這樣就可以把特徵碼填充掉(圖4)。然後選擇右鍵中的“複製到可執行文件”，接着在它的子菜單中選擇“選擇部分”命令，然後在新窗口中點擊鼠標右鍵，選擇其中的“保存文件”命令後進行保存即可。

 

圖4

第四步：黑洞木馬的使用

免殺製作完成後，就可以將木馬安裝到遠程系統，然後通過客戶端成功連接到服務端，點擊工具欄中需要的控制命令，比如遠程桌面命令，然後在彈出的操作窗口通過鼠標進行操作，就能在遠程系統進行演示操作呢。

三、QQ安全不用愁

方法1：首先要加強Windows系統本身的安全防護能力。雖然《QQ醫生》包括系統漏洞檢測功能，但是無法完整的檢測出系統漏洞，這樣就給大量的網頁木馬提供了可乘之機。因此用戶最好通過系統自帶的Windows Update功能來檢測。另外，關閉Windows系統的自動播放功能，這樣可以避免移動設備來傳播木馬病毒等。  

方法2：雖然《QQ醫生》操作起來簡單易用，但是目前僅爲防止QQ盜號而研發，而不能代替其他的安全軟件。同時軟件也不具有實時監控功能，所以爲了保護自己的計算機的安全，還需要配合其他的專業防病毒軟件進行使用。

攻防博弈

攻　黑客：《QQ醫生》畢竟是一款小的安全工具，不可能對所有的木馬病毒進行查殺，輕鬆的就突破了《QQ醫生》的追殺，弄得我們一點成就感都沒有。我們還可以玩些有技術含量的，比如通過QQ空間進行跨站掛馬，這樣才能顯示出我們的技術能力。

防　編輯：針對《QQ醫生》做免殺，我們可以用其他殺毒軟件來破解。至於用QQ空間進行跨站掛馬，我們可以依靠殺毒軟件的主動防禦來防範。