8700

我的第一部黑莓手机是曾经风靡一时的8700G。其实当初买这个手机纯属意外， 大概是在09年夏天，我的前一部手机LG kc550在上海客运总站被偷。当时穷酸的我决定先买一部简单的手机凑合着用。在把心理价位锁定在500左右之后，我选中了一部诺基亚的低端手机，可是到手后发现是移动定制版的，不喜欢只好退掉。后来突然想到当时的同事Face同学给我看过她买了玩的黑莓手机，全键盘的很酷，好像挺能糊弄人。我上淘宝一顿搜索之后，于是认领了自己的第一部黑莓手机，500元的换壳版8700G。那时候8700系列应该已经停产了，所以基本上所有的8700都是翻新的。但如此低廉的价格能买到一部智能手机，更重要的是还是彩屏的！

用了一段时间之后，我很庆幸自己选择了8700G。加上几个其他手机无法媲美的优点，我经常向别人推荐黑莓手机。全键盘带来的在输入上的舒适感和速度让人很享受；让其他手机可望不可即的信号强度和通话质量，即使在地铁上打电话都不用大声说话和捂着耳朵；再加上独特的光感技术，黑莓的屏幕在正午的太阳光下都清晰可见。

后来大概因为8700G的厚重和扩展方面的一些缺点，而且8700只是作为过渡用，再加上资金上也有些额外的预算，所以我阴差阳错地换了魅族M8。可是事实证明M8难当重任，Bug不断的系统，以及勉强能用的SDK，用了大概几个月，我对M8几乎失去了信心。

 8900

后来我才渐渐发现但凡用过黑莓手机，就会难以忍受其他手机的通话质量和屏幕效果。于是在放弃M8之后，我打算重新投靠黑莓。当时呼声最高的应该是黑莓新的旗舰手机——9700。当我在上海世纪大道的百脑汇，JS把9000，8900，9700三部手机一起摆在我面前的时候，我感到人生真的充满了令人纠结的选择。9000输入感应该是最好的，但是我不喜欢它的后盖，而且外形偏憨；8900各方面稍微平衡一些，但没有亮点；9700综合来说最好，但是价格几乎是前两者的两倍。由于当初我还无法接受自己使用价格超两千的手机，所以最后选择了8900。

我买的这部8900是所谓的14天机，其实直到现在我还不确定是不是真的存在这种“14天机”，各方面说法不一。但肯定不是全新的，也不是三码合一，所以价格能便宜很多。相对8700G，8900无论在外形和系统上都做了很大改进，所以我当时用的还是很满意，我记得我当时就特别喜欢在大街上逆着人流，掏出我的8900，双手握住然后装模作样地好像在输入什么似的。谁都有自恋和2B的时候，我现在想想我当时差不多就那样。

9700

人往高处走。用了一段时间的8900，我发现滚动球的定位不太准确，加上给韩伟同学代购过一次9700，见到了9700的真身之后，我对9700的迷恋一直挥之不去。于是后来，大概是作为某一次给自己的奖励，我终于入手了梦寐以求的黑莓旗舰9700，全新的T-Mobile版。

可以说，除了系统的应用APP匮乏外，在其他各方面，9700在当时都可以堪称一部几乎完美的手机。大气细腻的外形，秉承不变的全键盘的输入舒适度，屏幕和通话质量更不用说，而且9700的省电上做得也很棒。后来因为要收发公司的邮件，我给我的9700上了BES服务。所以应该说，这时候我才是在真正地用黑莓手机。

9900

9700是我用过的时间最长的一部黑莓。直到前一段时间，它的屏幕出现了问题。后来我知道了黑莓推出了新的旗舰——9900。老实说，我一开始也随大流并不看好9900，再加上这一段时间RIM的负面消息不断，很多人都认为9900是在一个不正确的时间推出的一部测试产品。但是因为我的9700使命将至，在9860和9900中间犹豫一段时间之后，我还是选择了拥有全键盘的9900，全新英国橘子（Orange UK）版。

2.8寸却拥有640*480分辨率的触摸屏带来了黑莓全所未有的视觉享受；加上1228MHZ的CPU，配备了触摸屏和全键盘才能让人体会到OS 7.0的优点；10.5毫米的厚度，机身也用流行的钢圈包裹，大小和重量带来的手感非常好。用了一段时间之后，我打消了自己的顾虑。除了大屏高频的智能手机在待机时间上的通病之外，在安卓和IPhone满大街都是的现在，黑莓绝对是一部个性并且好用的手机，并且在键盘输入和通话质量上完胜其他手机。

这是我用过的四部黑莓手机，期间刷机无数，拆机无数，购买过接近20美刀的APP，我自认为自己还算是一个合格的“莓粉”。8700，8900，9700，9900，无论从数字出现的频率，还是出现的时间顺序，你都会发现这是一个奇妙的组合。

关于应用

我在去年5月份的时候因为读书的目的，买了部3G的Ipad。后来我发现在北京的地铁上，用Ipad读书是件难度不小的事情，而且我渐渐发现在地铁上掏出个Ipad着实很傻，更别说用它玩那个水族馆的游戏了。后来我就把Ipad放家里用了。一段时间之后，我发现我用Ipad的原因竟然多半是躺床上看视频和在蹲马桶的时候消磨时间，而且我竟然从没用过3G功能。一怒之下，春节回家的时候我把Ipad送给了我那追逐时尚的老爸。我不知道这是否是群体现象，但是尽管有如此多的App，我在Ipad上常用的应用估计也就10个左右，那在手机上呢？所以我想说的是，黑莓经常因为应用太少被大家诟病，我觉得很多人是在人云亦云。黑莓的问题不在于应用总数上比苹果和安卓少，而在于它的高质量的应用和人们日常经常要用的应用匮乏。比如前一段时间我想找一个RSS阅读器，除了一个昂贵并且不让我非常满意的BeReader之外（耗电），竟没有其他还尚可的选择了。我想产生这个问题的根本原因在于黑莓APP的开发门槛较高。我相信RIM应该意识到了这个问题，黑莓中国（RIM China）跟腾讯和联通的合作就是一种证明。但是改变是漫长复杂的过程，大家只能拭目以待。

我希望RIM能像Motorola和Nokia一样，尽快解决自己的问题然后重新崛起。手机市场需要黑莓。

可我毕竟还是懒的，一直觉得需要挑个稍微特殊的日子写plan才能让plan显得有意义，从而增加执行的分量。于是我错过了元旦，错过了除夕，错过了……我大概想了想，下一个还能错过的日子应该要到年中，所以——两个星期的长假在工作后几乎很少出现，着实觉得奢侈，今天是长假最后一天——我想是时候把这个plan整理一下了。

2011年似乎没有什么刻骨铭心的事情发生，至少我转瞬一想过去的一年，没有什么能主动浮现在我脑海里。所以我就照着日历，按时间顺序，开始梳理我的2011。

生活方面：

• 年初在大连买了房，年中开始装修，年末装修完毕，目前豆豆同学已经入住。人生旅途中的必经之路算是刚走完一小段。
• 国庆的时候爸妈去了大连和北京，两家父母总算互相见了面，相处愉快，令人欣慰；这是妈妈第一次出远门，来回辗转很辛苦，不过她终于见到了天安门和毛主席。所以此行应该算是收获丰满。

工作方面：

• 组建lab。2011年我招了4个新同事，现在我们已经是一个完整的技术团队。不得不说，招人是件苦差事，尤其是每个环节都亲历亲为。当然，如果你认真用心去做，得到的锻炼也会不少。
• 6月份，正式成为部门经理，算是个人的努力和能力得到了肯定，喜悦和压力双丰收。
• 11月份，去上海参加ISF 2011，收获不错，意义非凡。
• 12月份，Franklin同学因为表现优秀，获得了总部的peak award奖励，这是China virus lab第一次正式抛头露脸，可喜可贺。

这一年过去，在丁总正确的“小卖铺”战略的指导下，加上大家的齐心协力，AVG China从一个baby成长为child。我们克服了公司成立初期的苦难，目前不但在技术上已经能有所担当，而且在business上也在逐渐盈利。这些都赢得了总部的认可和赞扬。

此外，一些杂七杂八的小事：

• 7月份，长大后第一次拔牙。拔牙的过程倒还可以，但是拔牙后的恢复过程很漫长，于是我经历了将近一个多月的痛苦和焦虑。目前想来，仍似有一种躲过劫难的小幸福感。
• 7月份，查出腰肌劳损和轻微腰间盘突出。职业病，无奈。
• 8月份，公司从中关村搬到朝阳门，个人也多次萌生搬家的欲望，但终因理想与现实的差距而屡屡放弃。
• 这一年来来回回往返大连十余次，已经习惯且不觉旅途劳累，只希望能尽己所能多陪豆豆。

回忆过去是为了憧憬未来。2012年的plan，虽然我有一直在心里默默念叨，但写下来才能督促自己。

生活方面：

• 购置一辆十万左右的代步小车，解决豆豆同学的上下班、回娘家的问题和多多的出行问题。
• 考取驾照。
• 关注修养。有时候回顾自己以前写的博客，我发现我在上海的那几年，经常会写一些影评、书评之类附庸风雅的文字。可是近一两年我的博客里不但鲜见类似的文章，连博客整体的产量也变少了。我认为写作是一种“自我梳理”，把你大脑里一些模糊、零碎的想法具象化、系统化，所以这至少说明近两年我这方面做的不好，人也变得急功近利。“正见圆智，立德修身”，这八个字，言简意赅，来源于豆瓣上的大中医小站。我用它作为我的目标。
• 关注健康。我没有足够的时间和耐心达到别人谓之“练功”的状态，但是我想，至少保持健康是我能做到的。具体为：减少体内湿气，调试肠胃，康复腰肌，减肥和锻炼身体，养成多吃素少吃荤的习惯。

工作方面：

• 关注管理。在安全界，兼顾管理和技术应该是大势所趋，而且目前我的机会看似不错，所以我计划把以前坚守的纯技术路线往管理方向偏一偏。
• 关注网络安全。早在前年我就意识到应该多关注网络安全，尤其是网站架构的安全。2011年业内终于井喷，所以我认为it’s time to start。大学的时候，别人都在做VC，我做 Web；毕业了，别人做Web了，我却去做安全；2012年，我想回去再做一做web。老实说，这个变化路线，我自己都觉得有点奇妙。
• 关注内核调试和开发。Ring 3的门槛越来越低，要想出类拔萃，精通内核早已是必备技能之一了。
• 英语仍需加强。以后出去的机会应该会变多，所以至少在交流上要做到流畅无误。

Plan大概就这些，一年时间看似很长，能好好利用起来做成功的事其实并不多。最近我在看《北京爱情故事》，里面的沈冰(佟丽娅 饰)是一个模范女朋友，演技也很好，这引起了我对她的关注。于是我就去google搜索她的信息。我看到资料里她在“人生信条”一栏里写了“顽强的毅力能克服世上任何的高峰”，然后我问自己，我的人生信条是什么？

平静之余，我想起来11月底在上海参加的ISF 2011。这是我第一次参加比较正式的安全界的会议，虽说ISF的规模和影响力在业内还不是非常地知名，但是于我来说仍有重要的意义。

本次ISF的议题主要侧重于“网络战争”和“互联网隐私保护”。这让我想起这次脱库事件引起的一连串蝴蝶效应，追根到底就是国内互联网的隐私问题没有得到重视。且不说为什么会被脱库，我们的很多网站在让用户注册的时候，会让用户填写敏感的信息，小到邮箱，大到身份证号、手机号。我们的用户也选择了信任那些网站，把我们的筹码都交给了那些他们。可是这些网站在存储用户的隐私信息的时候，有多少会注意保护这些数据？简单的如数据加密，数据混淆模糊，复杂点的如数据和逻辑分离，加强网站程序的安全性。这次脱库事件就说明，很多网站连最简单的保护措施都没有做到。而这些信息一旦泄漏，对于用户来说，轻则账户失窃，重则人际关系泄漏、财产失窃。

纵观国内的互联网大环境，2011年我们似乎也能偶尔听到有关“用户隐私”的消息，但是无非是借着用户隐私的噱头来打压竞争对手，抬高自己。国内的互联网，外人看来无限商机，前景大好一片，实则缺乏规范准则，混乱动荡。大家不选择齐心协力，脚踏实地做技术，而去投机倒把，抱着赚一票走人的心态。不说别的，就谈安全界和黑客界，安全界的现状不用多说，2010年年底到2011年年中，很多人都把安全界当作了娱乐圈。可是黑客界却在一直研究怎么去盗号，怎么去渗透，怎么去挖0 day，怎么去脱库。如果以前安全界和黑客界还是在同一跑道上不断你追我赶，而目前来看，国内的安全界和黑客界渐行渐远，而且似乎开始不在同一跑道上了。

我个人以前一直主张网络真实性，所以很早以前我就在我的个人网站上留下自己的真实信息，所以如果一个人知道了我的一点信息，通过google基本只要几步就能知道我是谁。然后的几年，经过几次人肉事件，再加上这次的脱库，我渐渐感到无助，我发现社会固然需要人人坦诚相待，但是在这规范、法律没有得到完善，道德基准还没到提升的大环境下，身在明处就意味着不可控的风险，会被他人凌驾于制高点，让你变得被动。

说到这里，我恍然意识到ISF本次议题的前瞻性，不得不对主办方产生了一丝敬意。而我自己以前也没有这方面的保护意识，现在想想，还真是有点亡羊补牢的味道。

本次ISF提到以下几点，让我印象比较深刻：

1. 用户隐私信息的处理。通过拓扑结构的变化，达到用户信息的模糊和混淆。这样即便你的信息失窃，也不能通过其他相关信息，诸如人际关系，来定位“你是谁”。

2.工业控制系统的安全。对于Stuxnet，以前也就只限于分析样本，看看安全厂商的分析报告，所以对stuxnet一直没有宏观上的认识。这次ISF上，赵世平博士从工业控制的高度给我们讲解了Stuxnet利用的原理，很清晰很生动。

3. 网络战争。Raoul据说是很牛B的一个黑客。他给我们讲述了网络战争的前景，如各国的网络军队等等。这方面自己以前机会没有机会涉及，所以还是十分新鲜。

其他几个议题，诸如国内邮箱都可被跨站确实也让我大惊失色了一把，键盘芭蕾的密码保护方式我在后来也看到了某游戏网站已经在运用，我也跟武大的彭国军教授聊了聊安全教育在高校里的现状和前景，等等这些确实让我知道了安全行业在公司的门外发生了什么，收获丰富，顿觉津津有味。

上面提到的课题，大部分都可以在这里下载到演讲资料。

此次ISF上海之行，我又重回到了阔别一年有余的上海张江，感慨良多。上海的阳光很暖，11月底仍然是满眼的绿色。吃了苏州羊肉，坐了有轨电车，跟韩伟同学看了场IMAX的《铁甲钢拳》，结果他的黑莓9700失窃， 见了近4年的合租好友熊姐、雪哥，大家变化不大，却似乎都各有各的心事。不禁让人慨叹身在别处，活在当下。

最后，上一张蹭拍的照片：

这个功能早就想加进去了，这几天才终于抽出点时间实现。

目前增加了“物理地址”转“虚拟地址”的功能，所以现在这个版本包含了“虚拟地址”和“物理地址”“相互转换”的功能，并且修复了上个版本的几个小问题。

需要的朋友请下载：VirAddr2FileOffset

In this case, the variation of ZeroAccess did not use ZwMapViewOfSetion to inject into explorer.exe. It just used normal ZwAllocateVirtualMemory and ZwWriteVirtualMemory to fill in explorer.exe’s memory with virus codes.

After entered explorer’s virus code space, it will first calls RtlAddVectoredExceptionHandler to install an exception handler.

After that, it has a smart way to allocate a new block of memory. It calls ZwCreateSection with below parameters:

We can see the FileHandle‘s value is NULL. That means the section is backed by the paging file. Then it calls ZwMapViewOfSection to map 0x1F0000 bytes of zero to this section. So in this way, it allocates a memory block without calling normal memory allocation functions, such as VirtualAlloc, LocalAlloc, HeapCreate, etc.

Next, it will fill in this block of memory with virus codes which will be executed at last.

Now what’s interesting comes.

It calls ZwSetContextThread to modify current thread’s context. The context is as follows:

The context flag’s value is 0×00010010, which means CONTEXT_DEBUG_REGISTERS. So with this flag, current thread context’s debug registers will be set after calling ZwSetContextThread. Let’s have a look at some introductions for debug register:

So according to above tow pictures, we can see that this sample adds a hardware breakpoint at 0x7c92d500, which points to ZwMapViewOfSection. And it declares that this breakpoint is only effective in current task.

After setting the context, this sample will call an undocumented Windows API, LdrLoadDll, to load lsass.exe. If we continue to track with OllyDbg and ignore the exceptions, the previously installed VEH handler will be invoked. Why? It seems that the ZeroAccess writers know a lot about what LdrLoadDll does. ZwMapViewOfSection will be called more than twice, depending on the process flow, within LdrLoadDll. We already know that a hardware breakpoint is set at ZwMapViewOfSection. So when ZwMapViewOfSection is invoked within LdrLoadDll, an exception is triggered. Since we ignore the exceptions in OllyDbg, the VEH handler will handle this exception.

During the VEH handler, it is mainly to do three things:

1. It will first check the exception code to decide how to handle this exception.
2. Set the EIP value in current exception’s context in order to make ZwContinue go to virus code.
3. Check current Windows version. It only runs in Windows 2000/XP/2003

After these, it sets EXCEPTION_CONTINUE_EXECUTION as the exception handling result.

Since the EIP in exception context it changed, now ZwContinue brings us here:

Now, at first it checks the memory pointer, [esi], to see whether the memory is allocated successfully within LdrLoadDll. If yes, remove the hardware breakpoint. Otherwise, set the memory pointer to 0xA80000. Then set STATUS_IMAGE_NOT_AT_BASE as ZwMapViewOfSection‘s return value. This is important. LdrLoadDll will consider that 0xA80000 points to the memory which is just allocated for Lsass.exe. It will deal with this block of memory as Lsass’s space. But actually it is hijacked!

After above steps, this sample will go back to LdrLoadDll‘s space to continue the execution after the calling of ZwMapViewOfSection.

We mentioned above that ZwMapViewOfSection is called several times within LdrLoadDll. So when ZwMapViewOfSection is invoked again, the VEH handler is triggered again as well. The handler does the same thing as before. But when it goes to ZwContinue, something different will happen. Since [esi] is set to 0xA80000 last time, this time it calls ZwSetContextThread with an empty context to remove the hardware breakpoints.

Then it will go back to LdrLoadDll again to continue the process. Till now, this sample triggers two times of exception. And it uses its own exception handler to do two things:

1. Hijack LdrLoadDll.
2. Remove the hardware breakpoint if the hijacking is done.

After LdrLoadDll‘s execution is finished, the memory block at 0xA80000 is identified as lsass.exe. But actually it’s virus code space.

Then, this sample will call several cleaning functions. Then jump to 0xA80000′s code space at last.

During above article, we missed one thing. That’s the anti-debug measures in this sample. Because this sample installs a VEH handler and adds a hardware breakpoint, when we debug this sample with OllyDbg, we should pay more attention. First, we should make the exception be handled by the VEH handler. So we should set OllyDbg ignore all exceptions. Second, we could not destroy this sample’s hardware breakpoint. But actually, when we debug this sample, we often use single-step command which will obviously destroy this sample’s hardware points. So most of the time, the ZwMapViewOfSection exception will not be triggered. Then we go the wrong process. Last, this sample changes the EIP value in thread context for several times to change the process flow. So we should pay much attention to where the sample will go for next.

So to sum up, this sample adds a hardware breakpoint by itself at ZwMapViewOfSection to hijack LdrLoadDll in order to dress virus memory section in lsass’s clothing. And this way also makes it difficult for analysts to debug it.

去年这个时候，我因为从上海搬家来京太过劳累，以至于搬书的时候闪了小蛮腰，结果中秋节在汉庭的床上躺了三天。接着的国庆7天只能宅在北京五环外的一间小屋里，养伤顺带完成了私活的一个项目。

不知道什么原因，总觉来京这一年过得有点漫长。年中的时候，也时不时地会掐指算算，自己年龄几何，毕业几年，来京多久。相比之下，在上海的4年却仿佛白驹过隙。

总的来说，在京的这一年，感受有点错综复杂。而随着年龄和交际圈的增大，自己也变得更加谨慎，很多话如果觉得说出来不太合适，就都咽在了肚子里。所以，对于北京的一些想法，思前想后之后，仿佛都觉得不妥，一来担心这些想法是受自己的负面情绪控制，二来是怕自己的这些看法只是因为对北京了解的太少。

不过有些基本的共识，我还是从自己身上得到了印证。所以先谈谈对北京的感受吧。

北京确实是个让人很难找到归属感的地方。离谱的房价，昂贵的房租，令人无解的交通，没有秩序的地铁，杂乱的人群，没有服务态度的服务行业……这些令人不快的因素，基本上每天都会碰到。有时候很想逃避，但是最后都发现实在找不到出口。现在想来，在上海的时候，只要自己多努点力，哪怕多花点钱，基本上就能过上自己想过的生活。而在北京，五环外的房价已经超过两万了；不想挤地铁？路那么堵，买车就等着闹心吧。好嘛，现在买车还得摇号了；我有时候挤地铁时会抱怨，北京哪来这么多人？自己还真找出各种各样的解释，后来想想这么想也许偏激了，每个人大概背后都有自己的原因吧。所以我想，在北京的大部分人大概都过着自己不喜欢的生活，但都因为某一些原因，不得不在这继续下去。

阴森的帝都。身为首都，这个虽说是中国第一大的城市，里面却到处充斥着各种看得到和看不到的专治、权利。这种阴森的感受，来源于我看到北五环的天通苑小区里，有三座高的住宅楼，每个楼的楼顶分别镶着四面朝向的“天”“通”“苑”三个大字。这仨字当时看得我毛骨悚然，不知道为啥我立马想到的是西游记，里面有个“通天河”，我就想到这篇阴森的天空下，是不是有很多的妖精。阴森感受的第二来源，是因为北京的很多政策都不合情理，包括城市的规划、一些公共设施的设计等等。小处说，我常常因为在北京找不到垃圾桶而犯愁，在北京打个车也甭提多难了。再看看北京的地铁线路设计，有多少重复的路线，整个线路图看上去就让人觉得前期没有统一的规划，后期就像打补丁似的，这儿挖一条，那儿挖一条，而更让人犯愁的是北京地铁的换乘，要么是要走很远，要么是一条狭窄的通道，并且要多次的上下楼。我经常会想，万一什么时候地铁出了个事，这些通道肯定是踩踏事件发生地。有人说导致北京交通拥堵的原因之一是北京的住宅区划分得很不合理。就我所知，包括五号线的天通苑、十三号线的回龙观、一号线的通州，这几个小区的居住人口太过密集，导致这几条线异常拥堵，而且除了终点站外，其他站点的乘客都很难上车。

老北京。说了两个不好的地方，说点儿积极的吧。北京毕竟是个文化古都，虽然现在已经被改造得老不老，潮不潮，但是一些文化底蕴还是能够被发掘出来。我也算不上文化达人，不便对这些评头论足，但有时候身边的一些点点滴滴确实让自己有了些这样的感受。北京的“老”还体现在了吃上，虽然我也不是饮食大人，但是吃过大董烤鸭和正院大宅门之类的菜之后，再加上一些传统的小吃，我对北京的吃还是燃起了一些欲望，也算是前两点令人sad的感受的一些慰藉了。

说了这么多感受，也许你已经会认为我在北京过得并不开心。其实也没有那么的不开心，就算不开心，那就自己找点乐子。你看这一年里，我的肚子从小变大，又从大变小，这会儿又准备变大了，原因是那个健身房的热力单车课里放的音乐太乡村化了；你吃过200一盘的花生吗？你喝过一打960的喜力吗？嗯，这事儿我们去年冬天在三里屯的黑酒吧碰到过……；我们还曾两度欲杀入三环改善生活质量，后来终因“两室一厅一万二”的房租败下阵来，撤回五环外的小屋。

其实吧，男人在外打拼，图的当然不只是开心。

在京一年，意味我在AVG已经一年半了。这一年半的AVG生活让我成长很多，现在有时候想想，会很庆幸当初在上海能得到丁总的赏识。一年半里，自己的技术进步很多，AVG提供了宽松和开放的工作环境，也有很积极的技术氛围。如果说在趋势的三年，让我从一个软件工程师真正转型成为一个病毒分析师，那在AVG的这一年半，就是我在反病毒行业里真正成长的一年半。除了技术之外，我在管理上也得到了丁总的嘉奖，有幸成为了Virus Lab的部门经理，目前正积极地想把这个团队发展壮大，能让大伙享受在这个团队的工作，然后干出一番事情出来。所以，正如我在一年前写的《离沪抵京》中提到的，纵使北京有多么不如人意，这儿毕竟不是我的归宿，如果能在这里实现自己的那一份理想，大概就算是不虚此行了。

除了北京的一些生活之外，这一年里，我在旅顺买了一间温馨小房，目前装修业几乎完毕，感谢豌豆同学的全称大力支持。目前计划明年初再购置一辆代步小车，解决多多同学的回家难问题，再次感谢豌豆同学对多多同学的全程照料。话说我这个原本打算“裸婚”的伪愤青不知不觉就要变得有房有车了，你能说世事不难料么。而在这即将到来的国庆长假，我的爸妈就要从江苏跋山涉水来到大连，和岳父岳母见面，这场“周孙会谈”也算是国庆佳节里的一场火星撞地球般的大事了，不知道央视新闻联播会不会“轻度报导”。之后，爸妈又要杀回北京，我这个在北京一年愣是没爬过长城的胖子，这次估计怎么也躲不过去了。我不要~~~

病毒替换Windows系统文件早已不是什么新鲜事了。但是替换应用程序的组件却一直很少见，这多半是因为触发较难或者通用性不够。过去我们见到过的大部分相关案例是病毒会替换QQ的组件来盗取用户的QQ秘密。而最近，AVG截获到一种会替换国内流行软件的组件来实施恶意行为。而这些流行软件中包括了迅雷、遨游、阿里旺旺等几乎装机必备的软件。

这款病毒首先会从网上下载一个配置文件，里面包含了一些重要信息，包括替换哪些软件的组件，如何去替换。

下载完后，病毒会安装两个计时器，循环执行恶意代码。

在这段恶意代码中，病毒首先解析刚才下载下来的配置文件，找到要修改的程序的路径信息。

然后检查要替换的组件的描述信息（判断是否已经被替换过）和版本信息，来判断是否需要替换。

如果确定要替换，就从网上下载一个相关的事先修改好的文件，然后终止该组件所属程序的进程，备份原有组件，然后执行替换。

到目前为止，病毒已经成功将正常组件提换成了恶意组件。接下来让我们看看恶意组件做了什么事情。

Dll的main函数代码如下:

这段代码不难理解。病毒首先在注册表的RUN键值里添加一项，保证被替换的组件所属的程序能自动运行。然后检测当前系统环境下是否存在互斥体”Pidalce”。如果不存在，表示病毒母体没有运行，则病毒会检测程序所在路径下是否存在母体文件，如果不存在，就从网上下载一个新的下来，然后执行该母体。

接下来，修改后的组件会在IE收藏夹和桌面上添加一些恶意的链接和快捷方式。

最后，修改后的组件还会加载正常的组件。

那么修改后的组件是怎么处理dll的导出函数的呢？请看下面的代码：

我们在上面提到恶意组件会加载正常的组件，所以在恶意组件的导出函数中，恶意组件会获得正常组件的同名导出函数的地址，然后执行。这样就能确保程序能正常运行了。

从病毒下载下来的配置文件中我们看到，这个病毒会替换以下流行程序的组件：

Thunder（迅雷）

PPStream

PPLive

StormPlayer（暴风影音）

AliWangwang（阿里旺旺）

TTPlayer（千千静听）

SogouExplorer（搜狗浏览器）

Maxthon（遨游）

这些都是国内非常受欢迎的软件。目前AVG已经将这种病毒检测为Clicker，已保证这些软件的安全使用。

用了几次之后，我发现VTU有个不符合使用习惯的地方。VTU如果发现文件的扫描结果在virustotal.com上已经存在，默认会直接打开最新扫描结果的页面，然后才会让你选择是否“重新上传”；如果你选择了“重新上传”，VTU就打开Virustotal上让你选择“reanalyse”还是“view latest report”的页面，也就是说，你还得再点击“reanalyse”才能打开最后的重新扫描的结果页面。

我觉得这个有点累赘了，因为如果你需要重新扫描文件的话，你得操作两次才能得到结果。我觉得应该在一开始就给用户一个选择“直接查看最新扫描结果”还是“重新扫描”的机会。

周末没啥事，也不想贪玩，就给VTU做了点小手术。patch了两块地方：
1：如果发现文件扫描结果已经在virustotal上存在，弹出对话框，让用户选择是“打开已有的最新报告页面”还是“打开重新扫描的结果页面”。
2：如果选择了“打开重新扫描的结果页面”，则直接跳转到重新扫描的页面，而非“选择reanalysze还是view latest report”的页面。

修改后的运行界面如下：

下载地址：VTU2.0

注：本软件的所有权归软件作者所有，请勿将修改后的软件用于商业或不法用途，否则引起的一切法律责任问题，与本人无关。by colordancer

概括来说，TDL-4的行为分下面几个部分：

1· Dropper：释放驱动和在引导感染模块里加载的病毒

2· 内核感染模块：感染MBR，保护hook安装，文件系统创建

3· 引导感染模块：也就是Bootkit部分

在分析bootkit部分的时候，需要知道详细的Windows启动过程，包括XP和Win7，32位和64位。所以最近做了一些这方面知识的学习，同时结合了TDL-4的一些分析，整理成了下面这张”高清无码大图“。分享出来，希望对有需要的人带来帮助。

于是我就抽空写了个这样的插件，挺简单的，不过应该还是挺实用的。

源码和dll下载：VirAddr2FileOffset
解压密码：infected

右击选择“Get File Offset”调用，或者按Ctrl + 2。（快捷键在笔记本上似乎不太好使）