我在这里下载了wannacry示例：https : //github.com/fadyosman/WannaCrySample/releases。不要忘记输入存档密码。

我弄清楚了大多数二进制文件的工作原理，除了位于 401FE7 的 WinMain 中的最后一部分。我在反转 if 块从 004020FE 开始的位置时遇到问题，后面有很多乱码。Wannacry 调用 4020F5 处的函数，该函数加载 ADVAPI32.dll 和 KERNEL32.dll 并获取函数句柄。402112 处的指令调用准备进一步使用的解密密钥的函数。在wannacry 之前解压缩包含多个文件的档案。40212D 调用函数来解密 t.wnry 并将内容存储在进程空间中的某处。除了不必要的细节，这就是我所知道的全部。所以我有几个问题：

1. 当程序在402104调用4012FD函数时，这个函数有什么作用？主体没有有意义的代码。其中嵌套了几个调用 InitializeCriticalSection() 的函数。
2. 有 2 个函数位于 4021BD 和 402924。第一个函数调用另一个函数，其参数引用诸如 VirtualAlloc、VirtualFree、LoadLibrary 等函数。402924 只包含一些魔术代码。我意识到这是wannacry launcher 将执行传输到另一个进程的地方，我只是想知道它一般是如何工作的机制。
3. 顺便说一句，wannacry 从 KERNEL32.dll 加载了它已经拥有的几个函数，为什么它再次加载它们？