靜態分析流程

這篇的內容會聚焦步驟6

Disassembly 反組譯

這裡使用IDA反組譯

查看有哪些functions後，發現很多都是沒有被命名的(sub_....)

所以先從看得出來的開始
有一個感覺是整個程式的進入點
「WinMain(x,x,x,x)」

WinMain

可以看到我們在【Day10】發現的網址

而InternetOpenUrl的函數會傳入以下的值
主要的是前兩個參數
hInternet : InternetOpen 傳回的 handle
lpszUrl : 需要存取的url
所以填入了v4跟szUrl
如果連線成功會回傳一個Handle，代表開啟與那網域的連線
失敗的話會回傳0

void InternetOpenUrlA(
              HINTERNET hInternet,
              LPCSTR    lpszUrl,
              LPCSTR    lpszHeaders,
              DWORD     dwHeadersLength,
              DWORD     dwFlags,
              DWORD_PTR dwContext
    );

所以可以知道他會向
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
發送請求

下方的判斷為
如果有收到請求，就CloseHandle，並直接跳到return 0
否則就呼叫sub_408090()
可以知道這個應該就是反分析機制
詳細在【Day5】有提到

接下來我們進sub_408090看看

sub_408090

(待更新)