关于 "??3@YAXPAX" 调用，它被称为Name Mangling，看看这个线程以获得更多解释。

“YAXPAX”调用实际上是deleteC++ 运算符。

关于__set_app_type，__getmainargs，GetStartupInfo等，是由编译器生成的调用和之前usally叫main功能。它们不是您愿意分析的程序源代码的一部分，因此您不必分析它们。

您的 main 似乎位于00401C80，因为它通常在调用 之前exit。这是您开始认真分析事物的地方。

关于反调试保护，很少有指令让我觉得程序中有一些可以捕获异常的东西：

cmp [0], 0应该会崩溃，所以也许某处安装了一些自定义异常处理程序。我会说检查 TLS 回调函数，但我可能错了。您应该能够通过按 Shift+F7 来传递异常，中断 NtContinue，读取 CONTEXT结构并继续执行程序。

这里列出了您可能会发现的最常见的反调试技巧——包括线程本地存储技巧。

import base64
import zipfile
import os
import hashlib
infile = open("c:\\halvar\\halvfem.bin","rb")
outfile = open("c:\\halvar\\halvfem.zip","wb")
base64.decode(infile,outfile)
infile.close()
outfile.close()
if (zipfile.is_zipfile("c:\\halvar\\halvfem.zip")):
    myzip = zipfile.ZipFile("c:\\halvar\\halvfem.zip",'r')
    myzip.extractall('c:\\halvar\\',myzip.namelist(),'infected')
    os.rename(myzip.namelist()[0],"halvar_challenge.exe")
    print hashlib.md5(open('c:\\halvar\\halvar_challenge.exe','rb').read()).hexdigest()

这是你说的文件吗

C:\halvar>python decode.py
172aed81c4fde1cf23f1615acedfad65

C:\halvar>f:\odbg110\OLLYDBG.EXE halvar_challenge.exe

在调用 ecx 之前，exe 正在设置结构化异常处理程序，您应该遵循异常处理程序可能多次

提示在 msvcrt 中检查此功能

77C2275C MSVCRT._JumpToContinuation    $  8BFF          MOV     EDI, EDI

如果您遵循它们，您应该能够看到 LoadLibrary 和 GetProcAddress 正在解析 0x89 导入

在发布此之前，我一直关注到 CreateEvent

0013FD90   0040F520  /CALL to CreateEventA from halvar_c.0040F51D
0013FD94   00000000  |pSecurity = NULL
0013FD98   00000001  |ManualReset = TRUE
0013FD9C   00000000  |InitiallySignaled = FALSE
0013FDA0   0013FDCC  \EventName = "{AB8D393B-9177-440d-B3F8-1C1FE0CF9692}"