QQ刚出了2007正式版的时候马上就下了,QQ医生功【gōng】能上也【yě】做了改进,在【zài】后台监视运行【háng】,今天上网的时候突【tū】然QQ医生弹了出来,呵【hē】呵,报告了木马。
汗!QQ2007正式版带的QQ医生功【gōng】能还【hái】真的很强大,无聊【liáo】之余在学校要度过十一【yī】就对对这个小东西的
杀毒机制【zhì】进行研究一下吧【ba】。正好我的盘里有个黑洞2005,一个远程控制【zhì】软件,以前帮【bāng】朋友查看【kàn】电脑时候用的它,主要是屏幕传输好,现在也被列入木马行列。本地【dì】运行一个看看QQ医生是否杀呢,本地安装了一下运行了一下如【rú】下图,杀了出来,呵呵不错,不用去找病毒样本测【cè】试了,就【jiù】拿它【tā】来测试了。
QQ医生到底是怎么杀毒的呢?主动
防御型?可【kě】是我安装的时候根本没反映,我把黑洞服务端的壳【ké】很【hěn】简单用【yòng】Upx ShellEx就给脱掉了,把里面的所有注册表启动,服务启动之类的字符串全部【bù】用【yòng】0填充了,如下图
红色的部【bù】分原来是写注册表的地方全部00填充了,其他能找到的部分也填【tián】充了,重新生成并且运行依然被检测了出来,这个小东西不可能用主动防御【yù】那中技术【shù】,真怀疑【yí】。猜测是内【nèi】存查杀特征。
程序【xù】运行在内【nèi】存里的是相当于无壳装载的,用PEID查了下壳是【shì】UPX加的,很
简单用工具就脱了,用OD载入无壳的被查了出来【lái】,载入个带壳的饿就不杀,瑞星的内存查杀有【yǒu】无壳OD载入都杀的。还是【shì】有点疑惑,既【jì】然无壳的【de】被查出是毒,那就一个特征
定位工具定【dìng】位一下,如果后【hòu】成功的定位出【chū】了特征码,那就说明QQ医生的确是内存查杀。
用到的工具TK.Loader(内存辅助定位工具)和MYCLL,设【shè】置的时候注【zhù】意,最好【hǎo】少分成几块,我先生成了50个,少这样容易查看,因为很大一部分要手工来完成。还要”在“带后缀”前边打上钩,要么不能载入到内存。这个工具的使用方【fāng】法网络上有许多。是小黑们木马免杀的利器。简单介绍下【xià】MYCLL和TK.LOADER,MYCLL是把文【wén】件分成【chéng】N个部分,然后N个部分里【lǐ】面分别用00填充,之后就生成了N个文件,其【qí】实是一种排除【chú】方法,而TK.LOADER负责把带后缀的文件载入到【dào】内存,这样好在内存中检测。MYCLL界【jiè】面如下,
在MYCLL目录下的OUTPUT目录里生成了50个文件
之后用TK.LOADER载入内存, 如下图
之后QQ医生扫描,如图5
之后【hòu】在OUTPUT文件夹【jiá】下,把查出来的都删除掉,点二次处理,继续定位【wèi】重复上面的操作,最后成功的定位出一出特征【zhēng】
最后定位出如下的结果:
特征码 物理地址/物理长度 如下:
[特征] 00061BAE_00000002
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[-------------------M------------------------------]
[--------------------------------------------------]
用接下来OC把文件偏移转换成内存地址,如下图(图)
OD载入那个文件【jiàn】,跳到004627AE处,把它用NOP替换掉,保存,载入,QQ医生查不出来了,由此得出了结论,QQ医生是采用【yòng】内存【cún】查杀特征【zhēng】的方式【shì】,也是取特征码杀毒。
最后【hòu】分析了下,为什么【me】QQ医生查不出OD载入带壳的,因为它和瑞星不一样瑞星有【yǒu】脱壳引擎,QQ医生【shēng】没有,所以只能杀OD载入无壳的了。
鄂公网安备 42011102000245号