下面是前面的代码调用到的子函数及数据。

首先是摸拟call的函数

0040718E     8B56 30         mov     edx, dword ptr [esi+30]              

做完了这些操作，shellcode最后终于进入自己的实质性工作了。

首先，得到Temp文件夹地址，并在后面加入“orz.exe”，作为病毒文件的本地地址

00407127     8DBE 33010000   lea     edi, dword ptr [esi+133]
0040712D     57    

毕业在即，又提前过上研究生的生活，这几个月都不是很有空。然而当面对一大堆文献和fortran数值计算程序，郁闷得要死掉的时候，就只能换一换环境，搞一搞病毒分析，调剂一下。

加之瑞星卡卡社区改版之后，可疑文件交流区的出现，又让我颇为关注，故最近也发了几篇帖子。

另外最近也在看雪上逛，与两年多前在卡卡一样，作为看雪论坛上的菜鸟，我尝试在新兵论坛等版块学习和回帖，希望能够使自己更快的提高。

博客很久没更新了，转几篇近半个月发的帖子的链接，充充场面吧。

在卡卡可疑文件交流区的第

很久没更新Script Decoder了，因为不知道要更新什么，Realplayer的alpha2 shellcode之后，似乎再发展下去就得搞个内嵌汇编调试器调试shellcode了，这暂时远非我能力所及，而且也超出了单纯网页解密的范畴。

昨天在实验室手痒痒，上Q叫阳光找了几个毒网，结果在整其中一个Realplayer漏洞利用网页的时候，按Script Decoder的按键按错了，内嵌浏览器对象直接执行了恶意脚本，然后可悲地发现，我实验室这台机我忘了给它打这个补丁！

随着Realplayer界面一闪而过（

                                     讣 告
       我院教师郑锡光副教授不幸于2008年1月2日凌晨因病去世。

……告别仪式定于1月5日周六上午11:30举行……

刚刚过去的1月5日，一位朋友迎来了成年的日子。而一位师长，则与人世做了最后的诀别。徘徊在物理与病毒之间的我，同时远远地看着这一切，是欣喜？是慨叹？……

迎来18岁生日的，是M，卡卡社区反病毒论坛年龄最小的版主，我在网络生涯中认识的第一个好友。

转眼已近两年，刚认识时一起在论坛“刷版”，聊天聊到半夜三点。当上版主后，在版务上的“并肩作战”，到后来很多时候无话不谈。
也渐渐知道，由于M的“未成年”并不那么广为人知，所以他也偶尔会碰到乱七八糟的事情：

自从11月下旬开始学习如何使用OD和IDA等之后，我看病毒样本的方式改变了很多。
从用“HIPS软件的监测结果”说事，转变到了用“对病毒样本代码的反汇编和调试结果”说事
从追求“把病毒当成一个黑盒，general地了解病毒做了什么”，到“深入病毒代码内部，细致地了解病毒是如何这么做的”

现在回想起来，颇有“今是而昨非”之感。

以前的眼界的确太局限了，也正因为早早意识到这种局限，所以我在之前很长一段时间内基本不看病毒样本了，虚拟机已经很久

期末考前复习烦了，上论坛看到阳光发了新pafefile.pif的分析，里面说到病毒对付安全软件，并询问具体如何分析。

其实之前在卡卡版家，我曾猜测是通过发垃圾消息实现的，但是没有仔细去验证。这次索性就验证一下，结果不出所料。

全部内容在http://bbs.janmeng.com/thread-689183-1-1.html

这里摘录关键部分，说白了也没啥：

调用PostMessageA，向窗口持续发送消息，消息Msg从0到499！
UPX0:00402E26