如何繞過《QQ醫生》的查殺

魔法學校的羅傑向他的同學演示他新學的黑魔法，遠端安裝黑洞木馬時，黑洞木馬被《QQ醫生》查殺，只見他念了一句咒語，再次遠端安裝黑洞木馬，此時《QQ醫生》毫無反應，猶如“木頭人”一般。羅傑唸的是什麼咒語?什麼黑魔法會這麼厲害?

一、《QQ醫生》靠特徵碼“吃飯”

現在網上的木馬、盜號軟體越來越多，所以各種QQ賬號被盜的事件頻頻發生。由於在QQ安全保護上飽受使用者批評，騰訊引入跟微軟的Defender安全軟體一樣的機制，通過研發獨立的安全軟體來減少盜號的現象。《QQ醫生》就是其推出的一款專門針對盜取QQ密碼的軟體，它能夠準確的掃描使用者計算機上的盜號木馬程式，並有效清除從而保護QQ賬號的安全。

《QQ醫生》主要包括三項功能，掃描檢測木馬病毒、掃描檢測系統漏洞、掃描檢測程式的完整性。當掃描未安裝的木馬程式檔案時，《QQ醫生》並不會報警，只在當木馬安裝執行後，才能檢測到木馬服務端的存在。

由此可以看出《QQ醫生》是通過記憶體特徵碼來定位的，因此羅傑要想通過黑洞木馬成功的進行演示，就必須更改黑洞木馬的記憶體特徵碼，只有這樣才可以輕鬆的繞過《QQ醫生》進行控制。

小提示：所謂記憶體特徵碼就是程式執行時記憶體地址，而防毒軟體就是通過這個地址對應的程式碼來進行病毒分析的，因此我們修改這個地址的程式碼就可以躲過防毒軟體的檢測。

二、修改特徵碼繞過《QQ醫生》

第一步：查詢記憶體特徵碼

首先查詢到木馬的記憶體特徵碼，然後對特徵碼內容進行修改，這樣《QQ醫生》就無法通過病毒庫中儲存的特徵碼與木馬的特徵碼進行比對，這樣最終躲過防毒軟體的查殺。

要製作免殺黑洞木馬，先執行特徵碼檢查程式MYCCL後，點選“檔案”按鈕選擇服務端檔案，並將“帶字尾”選項前面的打勾選中。接著在“分塊個數”選項中設定設定10個(圖1)。設定完成後點選“生成”按鈕，就能在目錄中生成相應的程式分塊。

圖1

由於是分析木馬的記憶體特徵碼，因此必須將它載入到系統記憶體後才行。所以接著執行記憶體特徵碼分析程式er，通過它載入木馬服務端檔案的分塊目錄後，點選“全部載入”按鈕即可將木馬載入到系統記憶體，這時利用《QQ醫生》就能檢測出木馬的存在並查殺。在《QQ醫生》查殺完成後返回MYCCL，再點選“二次處理”按鈕後，就可以得到黑洞木馬一個大概的特徵碼位置。

第二步：轉換記憶體特徵碼

木馬的特徵碼的大概範圍知道以後，點選MYCCL主介面中的“特徵區間”按鈕，在出現的“填充/特徵碼 區間設定”視窗中，選中剛剛找到的那段大的特徵碼以後，選中右鍵中的“複合定位此處特徵”命令。然後對特徵碼繼續進行分塊等進一步的操作，最終得到特徵碼精確的檔案地址00061BAF_00000002(圖2)。

圖2

由於《QQ醫生》是通過記憶體特徵碼進行查殺，而00061BAF_00000002這個地址只是特徵碼的檔案地址，而當木馬載入到系統記憶體後地址就會發生偏移，因此我們還需要將它轉換為記憶體中的地址。

執行“偏移量轉換器”，首先通過開啟按鈕設定木馬程式的路徑，接著在“檔案偏移”中輸入特徵碼地址，點選轉換按鈕在記憶體地址中得到特徵碼的記憶體地址(圖3)。

圖3

第三步：修改記憶體特徵碼

現在執行彙編程式OllyICE並載入黑洞木馬服務端檔案，接著通過滾動條向上移動找到記憶體特徵碼的地址，即004627AF。點選右鍵選擇“二進位制”選單中的“使用 NOP 填充”命令，這樣就可以把特徵碼填充掉(圖4)。然後選擇右鍵中的“複製到可執行檔案”，接著在它的子選單中選擇“選擇部分”命令，然後在新視窗中點選滑鼠右鍵，選擇其中的“儲存檔案”命令後進行儲存即可。

圖4

第四步：黑洞木馬的使用

免殺製作完成後，就可以將木馬安裝到遠端系統，然後通過客戶端成功連線到服務端，點選工具欄中需要的控制命令，比如遠端桌面命令，然後在彈出的操作視窗通過滑鼠進行操作，就能在遠端系統進行演示操作呢。

三、QQ安全不用愁

方法1：首先要加強Windows系統本身的安全防護能力。雖然《QQ醫生》包括系統漏洞檢測功能，但是無法完整的檢測出系統漏洞，這樣就給大量的網頁木馬提供了可乘之機。因此使用者最好通過系統自帶的Windows Update功能來檢測。另外，關閉Windows系統的自動播放功能，這樣可以避免移動裝置來傳播木馬病毒等。  

方法2：雖然《QQ醫生》操作起來簡單易用，但是目前僅為防止QQ盜號而研發，而不能代替其他的安全軟體。同時軟體也不具有實時監控功能，所以為了保護自己的計算機的安全，還需要配合其他的專業防病毒軟體進行使用。

攻防博弈

攻　黑客：《QQ醫生》畢竟是一款小的安全工具，不可能對所有的木馬病毒進行查殺，輕鬆的就突破了《QQ醫生》的追殺，弄得我們一點成就感都沒有。我們還可以玩些有技術含量的，比如通過QQ空間進行跨站掛馬，這樣才能顯示出我們的技術能力。

防　編輯：針對《QQ醫生》做免殺，我們可以用其他防毒軟體來破解。至於用QQ空間進行跨站掛馬，我們可以依靠防毒軟體的主動防禦來防範。