lab20-01
1sub_401040函数使用,参数this,用ecx来传递这个参数
在sub_401040函数内部,也可以证实这点,而且URL就是上面的http://www.practicalmalwareanalysis.com/cpp.html
可以看到程序非常简单,就在上面那个URL下载文件到c:\tempdownload.exe
Lab20-02
1注意字符串
关键函数是sub_401000
这个函数内部在搜索.doc和.pdf文件.并且是遍历了c盘下的全部目录
下面三个连续的判断是,再看文件属性是不是一个目录,是不是当前目录,是不是父目录,如果不是,说明是一个文件而不是目录,所以跳到loc_40113F判断是个.doc还是.pdf文件(这里有个疑惑,如果strncmp返回0那么说明是父目录或是当前目录也就是说不递归调用了,但是第一个判断FILE_那个不为0的时候,那么他的属性也不一定就是我们要的FILE_ATTRIBUTE_DIRECTORY可能是隐藏文件什么的,那么这个时候也执行递归调用明显是不合理的,看od结果,程序会递归搜索,这样一个目录,明显