[求助]一个含有病毒的EXE，不幸中了毒，弄了几天都弄不好，请牛人帮忙分析一下-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]一个含有病毒的EXE，不幸中了毒，弄了几天都弄不好，请牛人帮忙分析一下

发表于: 2008-12-30 16:21 9266

[求助]一个含有病毒的EXE，不幸中了毒，弄了几天都弄不好，请牛人帮忙分析一下

rmb

2008-12-30 16:21

9266

一个含有病毒的EXE，不幸中了毒，弄了几天都弄不好，请牛人帮忙分析一下

症状是：修改IE主页被改成161K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0j5%4x3o6m8Q4x3X3g2U0L8W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4q4!0n7z5q4)9^5b7g2!0q4y4#2!0n7c8q4)9&6x3g2!0q4y4W2)9&6y4#2!0n7y4W2!0q4y4g2!0n7b7#2!0n7z5g2!0q4y4g2!0n7z5g2!0n7c8W2!0q4y4g2)9&6x3g2)9^5b7g2)9J5b7#2!0q4y4W2!0m8c8W2)9^5c8W2!0q4z5g2)9&6b7g2)9&6y4q4!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4W2!0m8c8g2!0n7y4g2!0q4y4W2)9&6y4#2!0n7y4W2!0q4z5g2)9&6y4#2!0n7y4q4!0q4y4q4!0n7b7#2)9&6b7g2!0q4z5g2)9^5y4#2)9^5c8q4!0q4y4g2!0m8y4q4)9^5c8q4!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4W2!0m8b7#2!0m8x3b7`.`.

暂时只知道会建一个叫BITS的系统服务，然后会释放一个dll文件

然后病毒如何运行就不知道了。

恳请各大牛指点一二。

谢谢~

^_^

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

dzh_2008v5.rar （699.05kb，46次下载）

收藏・1

免费・7

支持

最新回复 (14)
LNdyxx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	LNdyxx 2 楼现在毒多，我都头疼，谁给我插个U盘，都能让我抽半天 2008-12-31 10:06 0
CCDebuger 雪币： 2506 活跃值： (1050) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 97 关注私信	CCDebuger 24 3 楼原程序是用 NSIS 制作的安装文件，其作用就是同时解压里面的两个文件并执行。解包后有两个文件：llk.exe(Microsoft Visual C++ 7.0，是个连连看的游戏，正常程序)，setup5891.exe(FSG 2.0 的壳)。看 setup5891.exe。脱壳后的文件里面的 DATA 段包含了一个 DLL，可以直接用16进制工具复制出来。从偏移 0x40A0 处选择大小为 0x3B800 的数据，另存为 Clinet001.dll（这个就是复制到系统目录下的 SysAdsnwt.dll）。IDA 静态分析一下脱壳后的文件，可获取以下信息：首先获取系统目录，如 C:\WINDOWS\system32，复制一个名为 SysAdsnwt.dll 的文件过去。然后在注册表中添加服务： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters 中添加 ServiceDll 项。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS\Parameters 中添加 ServiceDll 项。现在看那个 Clinet001.dll。这个 DLL 就是马的主体了。其检测360，从 9c8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2#2j5X3q4G2j5X3!0@1i4K6u0W2x3K6x3J5x3W2)9J5k6h3!0J5k6#2)9J5c8R3`.`. 下载文件到 C:\WINDOWS\ 并执行，应该是专门用来下载病毒的。解码了里面的几个 URL： 86fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2#2j5X3q4G2j5X3!0@1i4K6u0W2x3K6x3J5x3W2)9J5k6h3!0J5k6#2)9J5c8X3W2X3k6i4S2A6N6s2y4Q4x3X3g2H3K9s2m8Q4x3@1k6A6K9r3q4J5k6r3y4G2k6r3g2Q4x3@1b7H3x3q4)9J5k6o6f1H3i4K6u0V1y4e0k6Q4x3X3c8o6x3q4)9J5k6o6l9H3i4K6u0V1x3o6p5`. 268K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2#2j5X3q4G2j5X3!0@1i4K6u0W2x3K6x3J5x3W2)9J5k6h3!0J5k6#2)9J5c8Y4S2@1K9h3#2W2i4K6u0W2M7r3S2H3i4K6y4r3K9h3S2S2M7X3c8U0L8$3c8W2i4K6y4p5x3o6m8Q4x3X3b7#2x3q4)9J5k6o6f1$3i4K6u0V1b7K6m8Q4x3X3b7H3x3q4)9J5k6o6l9I4 d7bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2#2j5X3q4G2j5X3!0@1i4K6u0W2x3K6x3J5x3W2)9J5k6h3!0J5k6#2)9J5c8X3#2K6k6q4)9J5k6i4m8Z5M7l9`.`. 418K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2#2j5X3q4G2j5X3!0@1i4K6u0W2x3K6x3J5x3W2)9J5k6h3!0J5k6#2)9J5c8Y4g2H3k6r3q4@1k6g2)9J5k6i4m8Z5M7q4)9K6c8X3W2Z5j5i4u0V1j5$3!0V1k6g2)9K6c8o6l9H3i4K6u0V1y4e0m8Q4x3X3b7#2y4W2)9J5k6p5x3H3i4K6u0V1x3o6m8Q4x3X3b7H3x3b7`.`. 可惜都不能访问。至于修改 IE 主页，没看到相关代码，应该是你运行其他程序出的问题。附件包含木马原样本、脱壳后的文件、从里面抽出来的 Clinet001.dll 及简单的分析。解压密码：muma 上传的附件： dzh_2008v5_MUMA.rar （232.55kb，61次下载） 2008-12-31 15:12 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 4 楼解压密码多少呢 2008-12-31 16:19 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 5 楼副坛主很强啊，一天就分析出来了 2008-12-31 16:38 0
CCDebuger 雪币： 2506 活跃值： (1050) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 97 关注私信	CCDebuger 24 6 楼这东西分析起来很快的，壳脱了IDA看一下就大致差不多了。就是想看看人家那个网站上还有啥，呵呵 2008-12-31 16:47 0
风中紫杉雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	风中紫杉 7 楼很强大,菜鸟刚开始学习 2008-12-31 16:58 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 8 楼啊？我还以为有idb学习一下！！！！！！！！！看来还得自己动手！原来是个后门！难道是……………… 后台智能传送服务 (BITS) 是一个 Windows 组件，它可以在前台或后台异步传输文件，为保证其他网络应用程序获得响应而调整传输速度，并在重新启动计算机或重新建立网络连接之后自动恢复文件传输。　　通过BITS可以实现与IIS服务器相互传输文件，但是不影响你浏览页面，也就是可以做到同步或者异步。　　安装微软Win2000以上系统并打开自动更新以后，系统会自动下载并安装后台智能传送服务用来下载系统更新。正常情况下可以允许安装。 2008-12-31 16:58 0
rmb 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	rmb 9 楼非常感谢CCDebuger的帮助我调试这个setup5891.exe时觉得很奇怪，因为这个EXE只是新增了一个服务，然后生成了一个DLL，然后就好像结束了。现在我的理解是BITS这个服务呢是随系统启动的，启动之后就会运行DLL文件，然后病毒就发作了，我这样理解对吗? 然后IE被修改的问题应该不是这个EXE引起的，因为我找到另外一个EXE文件，里面是有53dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0j5%4x3o6m8Q4x3X3g2U0L8W2!0q4y4g2!0m8c8q4)9&6y4#2!0q4y4W2!0m8x3q4!0n7y4#2!0q4y4#2)9&6b7g2)9^5y4q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9^5z5q4)9&6c8q4!0q4y4W2!0m8c8q4!0m8y4g2!0q4y4g2)9^5z5q4)9^5y4W2!0q4y4W2)9&6c8g2)9&6x3q4!0q4y4g2!0n7b7g2)9&6y4q4!0q4z5q4!0m8c8W2!0m8y4g2!0q4y4g2!0n7x3q4!0n7x3g2!0q4y4W2)9&6z5q4!0m8c8W2!0q4z5q4!0n7c8W2)9&6z5g2!0q4y4q4!0n7z5q4!0m8b7f1g2j5c8g2!0q4y4W2)9&6x3q4)9&6c8g2!0q4y4g2!0n7c8g2)9&6y4#2!0q4z5g2!0m8b7#2!0n7b7#2!0q4x3#2)9^5x3q4)9^5x3R3`.`. 再次感谢CCDebuger的指点~ ^_^ PS: CCDebuger你真是太强了，我是动态调试，一条条指令跟，然后根据调用的API分析，哎，惭愧，惭愧~ 2008-12-31 17:03 0
lzwx 雪币： 174 活跃值： (45) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 35 粉丝 0 关注私信	lzwx 1 10 楼呵呵... 原来是这玩意啊... 这是个远程控制的木马... 我曾经看过这玩意的源码... 2009-1-7 16:10 0
pentacleNC 雪币： 279 活跃值： (190) 能力值： ( LV9，RANK：170 ) 在线值：发帖 13 回帖 144 粉丝 0 关注私信	pentacleNC 4 11 楼驱动马~ 5d3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0j5%4x3o6m8Q4x3X3g2U0L8W2!0q4y4W2)9&6y4q4!0n7z5g2!0q4y4q4!0n7z5q4!0n7b7W2!0q4z5g2!0m8x3g2!0n7y4g2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2)9^5y4g2!0n7x3#2!0q4z5g2)9&6y4q4!0m8c8g2!0q4y4g2)9&6b7#2!0m8z5q4!0q4y4q4!0n7b7g2)9^5c8g2!0q4z5g2!0m8z5g2!0n7x3g2!0q4y4g2)9^5b7g2!0m8z5q4!0q4x3#2)9^5x3q4)9^5x3W2!0q4x3#2)9^5x3q4)9^5x3R3`.`. 另外，还有快速启动栏的快捷方式被修改了。。如果还未修复过来的话，可以用一下这个工具ef4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8D9i4K6u0W2x3K6j5H3M7$3q4X3k6g2)9J5k6h3y4G2L8g2)9J5c8U0x3$3x3r3y4G2L8i4m8C8K9h3I4D9i4K6u0W2P5X3W2H3 或是自己手工用冰刃清除。。 2009-1-8 13:15 0
Cyane 雪币： 388 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 232 粉丝 0 关注私信	Cyane 1 12 楼 CCDebuger分析的透彻学习~ 2009-1-8 19:44 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 13 楼改主页。。。。 HO 难道浏览器遭劫，冰忍可以看下BHO。 2009-1-9 10:19 0
aceivy 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 69 粉丝 0 关注私信	aceivy 14 楼学习了，思路不错啊 2009-8-28 11:49 0
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 15 楼路过留名 …… 2009-8-28 17:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

rmb

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
LNdyxx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	LNdyxx 2 楼现在毒多，我都头疼，谁给我插个U盘，都能让我抽半天 2008-12-31 10:06 0
CCDebuger 雪币： 2506 活跃值： (1050) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 97 关注私信	CCDebuger 24 3 楼原程序是用 NSIS 制作的安装文件，其作用就是同时解压里面的两个文件并执行。解包后有两个文件：llk.exe(Microsoft Visual C++ 7.0，是个连连看的游戏，正常程序)，setup5891.exe(FSG 2.0 的壳)。看 setup5891.exe。脱壳后的文件里面的 DATA 段包含了一个 DLL，可以直接用16进制工具复制出来。从偏移 0x40A0 处选择大小为 0x3B800 的数据，另存为 Clinet001.dll（这个就是复制到系统目录下的 SysAdsnwt.dll）。IDA 静态分析一下脱壳后的文件，可获取以下信息：首先获取系统目录，如 C:\WINDOWS\system32，复制一个名为 SysAdsnwt.dll 的文件过去。然后在注册表中添加服务： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters 中添加 ServiceDll 项。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS\Parameters 中添加 ServiceDll 项。现在看那个 Clinet001.dll。这个 DLL 就是马的主体了。其检测360，从 9c8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2#2j5X3q4G2j5X3!0@1i4K6u0W2x3K6x3J5x3W2)9J5k6h3!0J5k6#2)9J5c8R3`.`. 下载文件到 C:\WINDOWS\ 并执行，应该是专门用来下载病毒的。解码了里面的几个 URL： 86fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2#2j5X3q4G2j5X3!0@1i4K6u0W2x3K6x3J5x3W2)9J5k6h3!0J5k6#2)9J5c8X3W2X3k6i4S2A6N6s2y4Q4x3X3g2H3K9s2m8Q4x3@1k6A6K9r3q4J5k6r3y4G2k6r3g2Q4x3@1b7H3x3q4)9J5k6o6f1H3i4K6u0V1y4e0k6Q4x3X3c8o6x3q4)9J5k6o6l9H3i4K6u0V1x3o6p5`. 268K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2#2j5X3q4G2j5X3!0@1i4K6u0W2x3K6x3J5x3W2)9J5k6h3!0J5k6#2)9J5c8Y4S2@1K9h3#2W2i4K6u0W2M7r3S2H3i4K6y4r3K9h3S2S2M7X3c8U0L8$3c8W2i4K6y4p5x3o6m8Q4x3X3b7#2x3q4)9J5k6o6f1$3i4K6u0V1b7K6m8Q4x3X3b7H3x3q4)9J5k6o6l9I4 d7bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2#2j5X3q4G2j5X3!0@1i4K6u0W2x3K6x3J5x3W2)9J5k6h3!0J5k6#2)9J5c8X3#2K6k6q4)9J5k6i4m8Z5M7l9`.`. 418K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2#2j5X3q4G2j5X3!0@1i4K6u0W2x3K6x3J5x3W2)9J5k6h3!0J5k6#2)9J5c8Y4g2H3k6r3q4@1k6g2)9J5k6i4m8Z5M7q4)9K6c8X3W2Z5j5i4u0V1j5$3!0V1k6g2)9K6c8o6l9H3i4K6u0V1y4e0m8Q4x3X3b7#2y4W2)9J5k6p5x3H3i4K6u0V1x3o6m8Q4x3X3b7H3x3b7`.`. 可惜都不能访问。至于修改 IE 主页，没看到相关代码，应该是你运行其他程序出的问题。附件包含木马原样本、脱壳后的文件、从里面抽出来的 Clinet001.dll 及简单的分析。解压密码：muma 上传的附件： dzh_2008v5_MUMA.rar （232.55kb，61次下载） 2008-12-31 15:12 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 4 楼解压密码多少呢 2008-12-31 16:19 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 5 楼副坛主很强啊，一天就分析出来了 2008-12-31 16:38 0
CCDebuger 雪币： 2506 活跃值： (1050) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 97 关注私信	CCDebuger 24 6 楼这东西分析起来很快的，壳脱了IDA看一下就大致差不多了。就是想看看人家那个网站上还有啥，呵呵 2008-12-31 16:47 0
风中紫杉雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	风中紫杉 7 楼很强大,菜鸟刚开始学习 2008-12-31 16:58 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 8 楼啊？我还以为有idb学习一下！！！！！！！！！看来还得自己动手！原来是个后门！难道是……………… 后台智能传送服务 (BITS) 是一个 Windows 组件，它可以在前台或后台异步传输文件，为保证其他网络应用程序获得响应而调整传输速度，并在重新启动计算机或重新建立网络连接之后自动恢复文件传输。　　通过BITS可以实现与IIS服务器相互传输文件，但是不影响你浏览页面，也就是可以做到同步或者异步。　　安装微软Win2000以上系统并打开自动更新以后，系统会自动下载并安装后台智能传送服务用来下载系统更新。正常情况下可以允许安装。 2008-12-31 16:58 0
rmb 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	rmb 9 楼非常感谢CCDebuger的帮助我调试这个setup5891.exe时觉得很奇怪，因为这个EXE只是新增了一个服务，然后生成了一个DLL，然后就好像结束了。现在我的理解是BITS这个服务呢是随系统启动的，启动之后就会运行DLL文件，然后病毒就发作了，我这样理解对吗? 然后IE被修改的问题应该不是这个EXE引起的，因为我找到另外一个EXE文件，里面是有53dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0j5%4x3o6m8Q4x3X3g2U0L8W2!0q4y4g2!0m8c8q4)9&6y4#2!0q4y4W2!0m8x3q4!0n7y4#2!0q4y4#2)9&6b7g2)9^5y4q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9^5z5q4)9&6c8q4!0q4y4W2!0m8c8q4!0m8y4g2!0q4y4g2)9^5z5q4)9^5y4W2!0q4y4W2)9&6c8g2)9&6x3q4!0q4y4g2!0n7b7g2)9&6y4q4!0q4z5q4!0m8c8W2!0m8y4g2!0q4y4g2!0n7x3q4!0n7x3g2!0q4y4W2)9&6z5q4!0m8c8W2!0q4z5q4!0n7c8W2)9&6z5g2!0q4y4q4!0n7z5q4!0m8b7f1g2j5c8g2!0q4y4W2)9&6x3q4)9&6c8g2!0q4y4g2!0n7c8g2)9&6y4#2!0q4z5g2!0m8b7#2!0n7b7#2!0q4x3#2)9^5x3q4)9^5x3R3`.`. 再次感谢CCDebuger的指点~ ^_^ PS: CCDebuger你真是太强了，我是动态调试，一条条指令跟，然后根据调用的API分析，哎，惭愧，惭愧~ 2008-12-31 17:03 0
lzwx 雪币： 174 活跃值： (45) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 35 粉丝 0 关注私信	lzwx 1 10 楼呵呵... 原来是这玩意啊... 这是个远程控制的木马... 我曾经看过这玩意的源码... 2009-1-7 16:10 0
pentacleNC 雪币： 279 活跃值： (190) 能力值： ( LV9，RANK：170 ) 在线值：发帖 13 回帖 144 粉丝 0 关注私信	pentacleNC 4 11 楼驱动马~ 5d3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0j5%4x3o6m8Q4x3X3g2U0L8W2!0q4y4W2)9&6y4q4!0n7z5g2!0q4y4q4!0n7z5q4!0n7b7W2!0q4z5g2!0m8x3g2!0n7y4g2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2)9^5y4g2!0n7x3#2!0q4z5g2)9&6y4q4!0m8c8g2!0q4y4g2)9&6b7#2!0m8z5q4!0q4y4q4!0n7b7g2)9^5c8g2!0q4z5g2!0m8z5g2!0n7x3g2!0q4y4g2)9^5b7g2!0m8z5q4!0q4x3#2)9^5x3q4)9^5x3W2!0q4x3#2)9^5x3q4)9^5x3R3`.`. 另外，还有快速启动栏的快捷方式被修改了。。如果还未修复过来的话，可以用一下这个工具ef4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8D9i4K6u0W2x3K6j5H3M7$3q4X3k6g2)9J5k6h3y4G2L8g2)9J5c8U0x3$3x3r3y4G2L8i4m8C8K9h3I4D9i4K6u0W2P5X3W2H3 或是自己手工用冰刃清除。。 2009-1-8 13:15 0
Cyane 雪币： 388 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 232 粉丝 0 关注私信	Cyane 1 12 楼 CCDebuger分析的透彻学习~ 2009-1-8 19:44 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 13 楼改主页。。。。 HO 难道浏览器遭劫，冰忍可以看下BHO。 2009-1-9 10:19 0
aceivy 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 69 粉丝 0 关注私信	aceivy 14 楼学习了，思路不错啊 2009-8-28 11:49 0
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 15 楼路过留名 …… 2009-8-28 17:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复