dnf木马专杀(改一个字节轻松免杀，从蓝屏电脑发现腾讯“暗云Ⅲ木马专杀”的坑爹技术)

杀毒厂商喜欢包装概念，每次病毒出来都是“史上、最、超级、无敌”的，这些天被冠以“史上最XXXX”的病毒名叫暗云Ⅲ，腾讯管家又是弹窗又是连发N条微博，让大家赶快用它的专杀工具。

一脸蒙圈的群众不知道这病毒厉害不厉害，反正好像每次都很厉害，有人就用了腾讯管家的暗云Ⅲ专杀，把电脑杀得一片蓝屏，恍惚间以为永恒之蓝又卷土重来。

于是一个新的名词诞生了：暗云之蓝。

其实刚开始我以为蓝屏是病毒搞的，这个锅腾讯管家不背。直到看到一份公告，据说是腾讯管家和某机构合作发的：

既然腾讯管家自曝可能出现蓝屏，那就看看为什么杀着毒电脑会蓝。作为曾经有三位数rank的白帽子，逆向一个专杀工具也颇费了不少功夫，终于搞清楚腾讯管家暗云Ⅲ木马专杀的原理：

暗云Ⅲ木马会挂内核钩子来保护MBR，还注册了DPC函数来保护钩子，相当于双层保护，不让杀毒软件读写MBR。

腾讯管家专杀的方案，首先在内核抹掉DPC函数，再摘掉钩子，然后应用层便可以读取检测和修复MBR了。

接下来，让人大跌眼镜的一幕出现了！

腾讯管家的木马专杀，把MBR前256个字节计算hash，然后和专杀工具硬编码内置的暗云Ⅲ的hash做比对，比对一致就判定为暗云Ⅲ，恢复系统默认MBR；如果比对不一致，就放过不管了。

有图有真相，腾讯管家木马专杀硬编码内置暗云Ⅲ的hash：

比对hash的代码：

至于蓝屏，原理也很简单，腾讯的专杀在查找DPC函数时引用了未公开变量，在不同版本系统里，或者更新了内核补丁的系统，或者Win10新版，都可能导致偏移改变，轻则查找DPC函数失败，重则直接蓝屏。当然，病毒也是杀不掉的。

更坑爹的是，只要暗云Ⅲ在MBR里改一个字节，腾讯专杀工具就抓瞎，到时只能在硬编码里再加上新的hash。PR稿我都想好了：史上最XXX木马暗云Ⅳ来袭，新一代腾讯专杀横空出世！