陽光暱稱網對最新QQ醫生 1.4版殺毒方式的探討
- 軟件技術
- 關注:1.53W次
QQ剛出了2007正式版的時候馬上就下了,QQ醫生功能上也做了改進,在後臺監視運行,今天上網的時候突然QQ醫生彈了出來,呵呵,報告了木馬。
汗!QQ2007正式版帶的QQ醫生功能還真的很強大,無聊之餘在學校要度過十一就對對這個小東西的殺毒機制進行研究一下吧。正好我的盤裏有個黑洞2005,一個遠程控制軟件,以前幫朋友查看電腦時候用的它,主要是屏幕傳輸好,現在也被列入木馬行列。本地運行一個看看QQ醫生是否殺呢,本地安裝了一下運行了一下如下圖,殺了出來,呵呵不錯,不用去找病毒樣本測試了,就拿它來測試了。
![對最新QQ醫生 1.4版殺毒方式的探討]( "對最新QQ醫生 1.4版殺毒方式的探討")
QQ醫生到底是怎麼殺毒的呢?主動防禦型?可是我安裝的時候根本沒反映,我把黑洞服務端的殼很簡單用Upx ShellEx就給脫掉了,把裏面的所有註冊表啓動,服務啓動之類的字符串全部用0填充了,如下圖
紅色的部分原來是寫註冊表的地方全部00填充了,其他能找到的部分也填充了,重新生成並且運行依然被檢測了出來,這個小東西不可能用主動防禦那中技術,真懷疑。猜測是內存查殺特徵。
程序運行在內存裏的是相當於無殼裝載的,用PEID查了下殼是UPX加的,很簡單用工具就脫了,用OD載入無殼的被查了出來,載入個帶殼的餓就不殺,瑞星的內存查殺有無殼OD載入都殺的。還是有點疑惑,既然無殼的被查出是毒,那就一個特徵定位工具定位一下,如果後成功的定位出了特徵碼,那就說明QQ醫生的確是內存查殺。
用到的工具er(內存輔助定位工具)和MYCLL,設置的時候注意,最好少分成幾塊,我先生成了50個,少這樣容易查看,因爲很大一部分要手工來完成。還要”在“帶後綴”前邊打上鉤,要麼不能載入到內存。這個工具的使用方法網絡上有許多。是小黑們木馬免殺的利器。簡單介紹下MYCLL和ER,MYCLL是把文件分成N個部分,然後N個部分裏面分別用00填充,之後就生成了N個文件,其實是一種排除方法,而ER負責把帶後綴的文件載入到內存,這樣好在內存中檢測。MYCLL界面如下,
在MYCLL目錄下的OUTPUT目錄裏生成了50個文件
之後用ER載入內存, 如下圖
之後QQ醫生掃描,如圖5
之後在OUTPUT文件夾下,把查出來的都刪除掉,點二次處理,繼續定位重複上面的操作,最後成功的定位出一出特徵
最後定位出如下的結果:
特徵碼 物理地址/物理長度 如下:
[特徵] 00061BAE_00000002
特徵碼分佈示意圖:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[-------------------M------------------------------]
[--------------------------------------------------]
用接下來OC把文件偏移轉換成內存地址,如下圖(圖)
OD載入那個文件,跳到004627AE處,把它用NOP替換掉,保存,載入,QQ醫生查不出來了,由此得出了結論,QQ醫生是採用內存查殺特徵的方式,也是取特徵碼殺毒。
最後分析了下,爲什麼QQ醫生查不出OD載入帶殼的,因爲它和瑞星不一樣瑞星有脫殼引擎,QQ醫生沒有,所以只能殺OD載入無殼的了。
汗!QQ2007正式版帶的QQ醫生功能還真的很強大,無聊之餘在學校要度過十一就對對這個小東西的殺毒機制進行研究一下吧。正好我的盤裏有個黑洞2005,一個遠程控制軟件,以前幫朋友查看電腦時候用的它,主要是屏幕傳輸好,現在也被列入木馬行列。本地運行一個看看QQ醫生是否殺呢,本地安裝了一下運行了一下如下圖,殺了出來,呵呵不錯,不用去找病毒樣本測試了,就拿它來測試了。
QQ醫生到底是怎麼殺毒的呢?主動防禦型?可是我安裝的時候根本沒反映,我把黑洞服務端的殼很簡單用Upx ShellEx就給脫掉了,把裏面的所有註冊表啓動,服務啓動之類的字符串全部用0填充了,如下圖
紅色的部分原來是寫註冊表的地方全部00填充了,其他能找到的部分也填充了,重新生成並且運行依然被檢測了出來,這個小東西不可能用主動防禦那中技術,真懷疑。猜測是內存查殺特徵。
程序運行在內存裏的是相當於無殼裝載的,用PEID查了下殼是UPX加的,很簡單用工具就脫了,用OD載入無殼的被查了出來,載入個帶殼的餓就不殺,瑞星的內存查殺有無殼OD載入都殺的。還是有點疑惑,既然無殼的被查出是毒,那就一個特徵定位工具定位一下,如果後成功的定位出了特徵碼,那就說明QQ醫生的確是內存查殺。
用到的工具er(內存輔助定位工具)和MYCLL,設置的時候注意,最好少分成幾塊,我先生成了50個,少這樣容易查看,因爲很大一部分要手工來完成。還要”在“帶後綴”前邊打上鉤,要麼不能載入到內存。這個工具的使用方法網絡上有許多。是小黑們木馬免殺的利器。簡單介紹下MYCLL和ER,MYCLL是把文件分成N個部分,然後N個部分裏面分別用00填充,之後就生成了N個文件,其實是一種排除方法,而ER負責把帶後綴的文件載入到內存,這樣好在內存中檢測。MYCLL界面如下,
在MYCLL目錄下的OUTPUT目錄裏生成了50個文件
之後用ER載入內存, 如下圖
之後QQ醫生掃描,如圖5
之後在OUTPUT文件夾下,把查出來的都刪除掉,點二次處理,繼續定位重複上面的操作,最後成功的定位出一出特徵
最後定位出如下的結果:
特徵碼 物理地址/物理長度 如下:
[特徵] 00061BAE_00000002
特徵碼分佈示意圖:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[-------------------M------------------------------]
[--------------------------------------------------]
用接下來OC把文件偏移轉換成內存地址,如下圖(圖)
OD載入那個文件,跳到004627AE處,把它用NOP替換掉,保存,載入,QQ醫生查不出來了,由此得出了結論,QQ醫生是採用內存查殺特徵的方式,也是取特徵碼殺毒。
最後分析了下,爲什麼QQ醫生查不出OD載入帶殼的,因爲它和瑞星不一樣瑞星有脫殼引擎,QQ醫生沒有,所以只能殺OD載入無殼的了。
- 文章版權屬於文章作者所有,轉載請註明 https://ygncw.com/jisuanji/ruanjian/lz8dm0.html
