这几天一直和河马战斗魔兽防守地图啊，各种乐、猛。

阿泰斯特就是nb，我最喜爱得球员啊。

得好好学习学习了。。。

比较想去mao live看爽子演出以及section6 看回现场的lil ray！

越来越懒了 简单看了看 好久没分析各种技巧完全不会了

文件:1.exe
大小: 18213 字节
修改时间: 2008年10月3日, 10:42:53
MD5: 3EF19FC7F9064E71F452CC26F855FC0B
SHA1: 69F33F1E50E60C0FF4D80C78DB36462B6CEA9B07
CRC32: 652B3224
释放 %System%\drivers\HBKernel32.sys
%System%\HBBO.dll
%System%\System.exe

call    CreateFileA
cmp     eax, 0FFFFFFFFh
jnz     loc_401137
push  

我孤独行走 22:35:00
看鹿鹿ma

нǐРpó 22:35:24
o
нǐРpó 22:35:40
发来看看
нǐРpó 22:35:52
明儿我不去吃面了 我得去姥姥家
我孤独行走 22:36:57
。。

我孤独行走 22:37:01
吃吧

нǐРpó 22:37:11
我DOTA。。
我孤独行走 22:37:14
o

нǐРpó 22:37:14
文件“4c896b5141f6793e42a75b04.jpg”(267KB)已经发送完毕。
нǐРpó 23:02:53
哎
нǐРpó 23:02:56
爆丑
我孤独行走 23:03

我不知道为什么我一听那名 lulu我就酥了，这仓促的感情啊 就让它在我一个人心里蔓延吧

我恨我自己 我恨我这糜烂的感情

w哥说的对啊 糜烂。。

首先 感谢轩辕小聪给出分析方便了我们这些菜鸟学习。感谢感谢 以下是本人稍有理解的

loc_131420B6:           ; "GXDD"
push    offset aGxdd
push    0               ; bInitialOwner
pu

文件: C:\Documents and Settings\user\桌面\zip1.exe
大小: 23283 字节
修改时间: 2008年8月19日, 22:05:52
MD5: 1A508FD863A74CCDA5307E1BFC759319
SHA1: 6D8DD257C6D09A6BE9E41F433C0E0F8CD14F23DB
CRC32: 86C47338 加壳方式：Upack V0.37 -> Dwing

1.释放文件：C:\WINDOWS\system32\mttwfh.dll 275,968 bytes
          C:\WINDOWS\system32\mttwfh.dll.LoG 43 bytes
2.使用LoadLibraryA函数将mttwfh.dll注入进程explorer.exe安装钩

刚才又看了遍战争之王，之后又想起我那糜烂的感情。。。

文件: 5236.exe
大小: 13270 字节
修改时间: 2008年8月11日, 16:30:04
MD5: BA930F2C8BAFC8ECBC9344D0250272B7
SHA1: 552CFFA173382666BC2D948410E51C1CF8FD5CE1
CRC32: 7273C1DD
释放文件：C:\windows\system32\adsntzt.dll
C:\windows\system32\adsntzt.nls

注册表添加：HKCR\CLSID\{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}\InProcServer32
   注册表值： （默认）
      类型: REG_SZ
      值： C:\windows

文件: 200805-0996.exe
大小: 73728 字节
文件版本: 1.01
修改时间: 2008年6月18日, 13:08:35
MD5: AECA0C98DAA541CF1E5DC1222049D931
SHA1: 0E0E273EC0CC83A970E6B270640B9CE26287E178
CRC32: 314A30FB

200805-0996.exe在注册表添加
注册表群组： User Shell Settings
对象：
   注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell

Folders
   注册表值： Templates
   新的值:
   

卡巴斯基v8.0.0.454简体中文正式版发布了，hips有4d，新的启发引擎，好像还有沙盘。。

我还是用我的comodo....

使用简介针对新手。。。 卡饭的。http://bbs.kafan.cn/thread-275820-1-1.html

KAV：http://down10b.zol.com.cn/390830c7754afab3ecfb093fee77d960/4892a13d/Kaspersky/kav8.0.0.454sch.exe

文件: kdxywg.exe
大小: 359372 字节
修改时间: 2008年7月23日, 17:17:32
MD5: 64AF0CEC9D2CF75770283034EB0C984C
SHA1: 83877B432A1CB4E105C18CB1E8EF386C884CA3F5
CRC32: 2B344324

在Temp\RarSFX0目录下释放loadwg.exe kdxywg.exe kdxywg.txt运行loadwg.exe并调用kdxywg.exe
kdxywg.exe试图删除C:\WINDOWS\system32\verclsid.exe
释放病毒文件：C:\windows\system32\kgfghd.dll
C:\windows\system32\tf0
注册表动作：注册表键： HKCR\CLSID\{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189

文件:fireworks.exe
大小: 117760 字节
修改时间: 2008年7月8日, 11:57:31
MD5: 9BF4737E46D2EA6B7EB4EF6605FB269D
SHA1: 37CCD58357AB31FC9D8833776733636F99E76757
CRC32: A2A7219F

释放文件：C:\windows\msserv.exe
C:\windows\msserv.config
添加启动项:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:msserv
调用C:\windows\system32\w32tm.exe
执行命令行:/config /update
执行命令行:/config /syncfromflags:manual /manualpeerlist:t

学习一下

EnumWindows 枚举顶级窗口， EnumChildWindows 枚举子窗口， EnumThreadWindows 枚举与某个线程关联的所有非子窗口

BOOL EnumWindows(
WNDENUMPROC lpEnumFunc,  

LPARAM lParam           

);

参数
lpEnumFunc
指向程序定义的回调函数的指针.
lParam

上次那个hellboy样本，一段。。当时连蒙代猜得猜出了意思写了分析报告，今天想仔细研究下（本人没任何基础。。）

UPX0:001614FB                 call    GetSystemDirectoryA
UPX0:00161501                 mov     edi, offset aDriversBeep_sy ; "\\Dr

文件: kavo.exe
大小: 124300 字节
修改时间: 2008年6月27日, 22:39:50
MD5: CD0C19C0A937EA049DF2B263DEB44815
SHA1: 593D27B7C0A2BB6DF3964618031A6FCB8E999569
CRC32: EAAE3C2A
添加服务：HKLM\SYSTEM\CurrentControlSet\Services\KAVsys
添加启动项：HKCU\Software\Microsoft\Windows\CurrentVersion\Run
注册表值： kava
类型: REG_SZ
值： C:\windows\system32\kavo.exe
删除注册表：HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW\\DWFileTreeRoot
试图修改C:\win