[摘要]520资源网...
QQ刚出了2007正式版的时辰顿时就下了,QQ大夫成果上也做了改造,在靠山监督运行,本日上网的时辰溘然QQ大夫弹了出来,呵呵,陈诉了木马。汗!QQ2007正式版带的QQ大夫成果还真的很强盛,无聊之余在学校要渡过十一就对对这个小对象的杀毒机制举办研究一下吧。正好我的盘里有个黑洞2005,一个长途节制软件,早年帮伴侣查察电脑时辰用的它,首要是屏幕传输好,此刻也被列入木马队列。当地运行一个看看QQ大夫是否杀呢,当地安装了一下运行了一下如下图,杀了出来,呵呵不错,不消去找病毒样本测试了,就拿它来测试了。
QQ大夫到底是怎么杀毒的呢?主动防止型?然则我安装的时辰基础没反应,我把黑洞处事端的壳很简朴用Upx ShellEx就给脱掉了,把内里的全部注册表启动,处事启动之类的字符串所有效0添补了,如下图
赤色的部门原本是写注册表的处所所有00添补了,其他能找到的部门也添补了,从头天生而且运行依然被检测了出来,这个小对象不行能用主动防止那中技能,真猜疑。揣摩是内存查杀特性。
措施运行在内存里的是相等于无壳装载的,用PEID查了下壳是UPX加的,很简朴用器材就脱了,用OD载入无壳的被查了出来,载入个带壳的饿就不杀,瑞星的内存查杀有无壳OD载入都杀的。照旧有点迷惑,既然无壳的被查出是毒,那就一个特性定位器材定位一下,假如后乐成的定位出了特性码,那就声名QQ大夫简直是内存查杀。
用到的器材TK.Loader(内存帮助定位器材)和MYCLL,配置的时辰留意,最好少分成几块,我天赋生了50个,少这样轻易查察,由于很大一部门要手工来完成。还要”在“带后缀”前边打中计,要么不能载入到内存。这个器材的行使要领收集上有很多。是小黑们木马免杀的利器。简朴先容下MYCLL和TK.LOADER,MYCLL是把文件分成N个部门,然后N个部门内里别离用00添补,之后就天生了N个文件,着实是一种解除要领,而TK.LOADER认真把带后缀的文件载入到内存,这样亏得内存中检测。MYCLL界面如下,
在MYCLL目次下的OUTPUT目次里天生了50个文件
之后用TK.LOADER载入内存, 如下图
之后QQ大夫扫描,如图5
之后在OUTPUT文件夹下,把查出来的都删除去,点二次处理赏罚,继承定位一再上面的操纵,最后乐成的定位出一出特性
最后定位出如下的功效:
特性码 物理地点/物理长度 如下:
[特性] 00061BAE_00000002
特性码漫衍表示图:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[-------------------M------------------------------]
[--------------------------------------------------]
用接下来OC把文件偏移转换成内存地点,如下图(图)
OD载入谁人文件,跳到004627AE处,QQ签名,把它用NOP替代掉,生涯,载入,QQ大夫查不出来了,qq网名,由此得出告终论,QQ大夫是回收内存查杀特性的方法,也是取特性码杀毒。
最后说明白下,为什么QQ大夫查不出OD载入带壳的,由于它和瑞星纷歧样瑞星有脱壳引擎,QQ大夫没有,以是只能杀OD载入无壳的了。