逆向程序分析:Windows的main(),启动函数分析

最新推荐文章于 2022-11-09 14:38:25 发布
最新推荐文章于 2022-11-09 14:38:25 发布
阅读量1.1k 收藏
点赞数 4
分类专栏: 逆向程序分析 文章标签: windows c++ c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CodeBowl/article/details/120923484
版权
本文探讨了Windows环境下C/C++程序的启动过程,详细解析了从mainCRTStartup到invoke_main的调用链,涉及启动函数的角色、全局变量初始化、内存管理和安全检查。通过调试实战,展示了如何跟踪进入点并理解不同类型的入口函数,如main()和Winmain()的区别。
摘要由CSDN通过智能技术生成

Windows main 启动函数分析

实验环境

Windows10
Vs2015
x86程序

启动函数

C/C++的运行时启动函数,该函数负责对C/C++运行库进行初始化。

启动函数的作用

检索指向新进程的命令行指针、检索指向新进程的环境变量指针、全局变量初始化、内存初始化等。

当所有的初始化操作完成之后,启动函数会调用应用程序的进入点函数。

调试实战

我们写一个简单的main函数,然后F5进入调试。

在这里插入图片描述

mainCRTStartup()

这个函数调用了__scrt_common_main(),我们直接来看它。

__scrt_common_main()

发现这个函数主要在做,GS和SEH检查,这俩个检查主要是防止内存溢出的,想要了解的可以进一步了解一下。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DIZhl3mz-1634980724377)(C:\Users\11073\AppData\Roaming\Typora\typora-user-images\image-20211023170621872.png)]

__scr

最低0.47元/天 解锁文章
CodeBowl
关注
专栏目录
教外谈(1):windows逆向入门
余识-
09-24 4227
本章主要介绍常见的逆向工具使用以及初步的逆向思路
Windows GUI --从main函数开始写一个Windows窗口程序
There is an octopus in the fish pond
08-01 1307
Windows GUI --从main函数开始写一个Windows窗口程序 关于Windows main函数 准确地说Windows总共提供了2种main函数, 而由于字符编码的缘由, 又将2种main函数拆分成4个main函数,其函数名称及其区分如下表: 程序分类 main入口点函数 解释说明 CUI(控制台程序) _tmain(Main) ANSI编码控制台程序 _tmain(Wma
函数逆向分析
05-12 153
函数逆向分析 作者:ONDragon 环境:Windows 7 VC6.0。 一、 函数源码 __cdecl int CTestPlus(int a,int b,int c) { return a + b + c; } __stdcall int STestPlus(int a,int b,int c) { re...
第一个Windows应用程序--启动函数、入口点函数与退出函数
孤舟钓客
11-06 9174
1.入口点函数 Windows 应用程序必须有一个入口点函数应用程序开始运行时,这个函数会被调用。使用Win32 SDK开发程序的入口函数如下: int WINAPI WinMain( HINSTANCE hInstanceExe, HINSTANCE, PTSTR pszCmdLine, int nCmdShow); 1)hInstanceExe参数实际值是一个内存基地址;系统将
小甲鱼 OllyDbg 教程系列 (十) : Windows 逆向常用 api 以及 XOFTSPY 逆向
freeking101的博客
11-16 1534
小甲鱼 OllyDbg 视频教程 尝试 1 :https://www.bilibili.com/video/av6889190?p=17 尝试 2 :https://www.bilibili.com/video/av6889190?p=18 小甲鱼OD学习第13-14讲:https://www.bbsmax.com/A/QV5ZL1gZzy/ 逆向常用 api...
浅谈逆向——32位逆向分析技术(1.函数
qq_38684512的博客
01-30 823
浅谈逆向-32位逆向分析技术启动函数函数 启动函数 编写Win32应用程序时,必须在源码中实现一个WinMain函数,但windows执行并不是从WinMain开始的,首先被执行的是启动函数的相关代码,这段代码是由编译器生成的,在启动代码初始化进程完成后,才会调用WinMain函数。 对VC++程序来说,调用了C/C++运行时的启动函数,对运行库进行初始化,C/C++程序运行,启动函数作用基本相同...
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
2.如何定位MAIN函数,修改逻辑跳转指令案例 3.加密编码算法 包括base64变表编码和简单异或加密解密案例并带有加解密源码 4.动态调试 包括动态调试解密案例 5.脱壳处理 包括解压壳脱壳解密案例 6.附带4个解密案例程序...
逆向程序分析C++的一个空类,为什么在内存中占1字节
CodeBowl的博客
10-26 367
逆向程序分析C++的一个空类,为什么在内存中占1字节普通的空类空类的定义空类的内存大小为什么呢?带有虚函数的空类虚类空类在内存中的大小为什么? 普通的空类 空类的定义 空类就是没有任何数据成员的类。 空类的内存大小 按道理讲,没有数据成员,就不会占用内存,那么空类的大小就为0。 但是真实场景下,即便是空类在内存中,也占一个字节。 #include <iostream> class CPeople { }; int main() { std::cout << "sizeo
IDA逆向分析教程:从零开始
12. **程序注册逆向分析**:通过分析Main函数的参数、局部变量和循环结构,教授如何解密注册算法。 13. **IDAPython**:介绍了如何安装和使用IDAPython,这是一种增强IDA功能的脚本语言,通过ipyida和Ipython提供...
Proxifier逆向分析(Windows)
哆啦安全
01-15 885
Proxifier这里就不多介绍了,详细介绍可以看上一篇文章,这里直接进入主题带大家分析Proxifier的Windows版本。 Windows逆向分析 环境与工具 windows 10任意版本 frida ida X64dbg vscode 010editor 去官网下载最新windows版本,运行效果如下图所示。 这里就不带大家怎么看什么写的了(方法一样是查看所有模块),我们注册看看有什么效果,如下图所示。 网上找个...
入口函数main、WinMain
01-24
入口函数main、WinMain) 在C/C++中,我们知道有一个如下格式的函数: int main(int argc, _TCHAR* argv[]) { return 0; } 该函数是C/C++中的入口函数,而在WindowsAPI中也有自己的入口函数,该函数的格式为: int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, int nCmdShow) { return 0; }
Windows逆向分析入门(九)——实战篇(内存直接读取通讯录)
weixin_42194433的博客
06-27 628
前言 上一篇,聊到函数的调用关系是一条线的。这一篇,聊下函数的调用关系是分叉的,应该怎么分析。目的是内存直接读取通讯录。 分析 通讯录,是数据。 全局数据直接读取,局部数据间接拦截。 通讯录要经常用到,写成全局数据,方便读取。 看着和个人信息一样,是全局数据,内存里直接搜索。 但用什么搜索呢?并没有一个明确的数据可以代表通讯录。 一般说,通讯录里面有很多好友信息,要获取某个好友信息,在里面搜索。 也就是说,通讯录可以是一个数组,链表,或者一棵树,而这个集合的开头写成全局数据。 切入点 从获取某个好友的信息入
[转](23)逆向分析 MmIsAddressValid 函数(XP系统 10-10-12分页)
weixin_41875267的博客
11-16 263
一、找到 MmIsAddressValid 函数 方法一:在windbg中输入 u MmIsAddressValid 方法二:在c:\windows\system32\ 中找到内核程序,用IDA分析。 ntkrnlpa.exe 2-9-9-12 分页内核 ntoskrnl.exe 10-10-12 分页内核 打开 ntoskrnl.exe 后,导入pdb文件,即可查看函数名称。 如果你没有pdb文件,请先安装对应系统版本的符号文件。 ...
Windows逆向分析入门(二)——原理篇
weixin_42194433的博客
06-27 1297
前言   正向开发,是先写代码,再编译成软件。而逆向分析,到手的只有软件。从软件入手,推测对应的代码,需要了解一下编译之后的软件是怎么跑起来的。 软件运行过程   1、软件加载到内存。   2、CPU读取内存的指令。   3、根据指令,再读取数据,进行运算。   4、运算的过程,数据是存在CPU里面的寄存器。   5、运算过程,用到另一个功能,需要保存当前环境,存到堆栈。   (这里涉及操作系统和计算组成原理,大概了解,心里有底就好) 代码语言的变化   1、C/C++语言:高级语言,给人看的   2、汇编
window的入口函数main
lin415804的专栏
05-30 1067
int main(int argc,char **argv) { }
逆向分析入门实战(一)
lilili260
03-18 1979
木马分析入门 大家好,我最近从Web安全开始学习二进制安全,分享一下自己学习过程的收获和心得体会。由于是入门的内容,所以对于二进制大佬来说这很简单,所以本文主要面向的对象主要是和我一样一直做Web安全,又想入门二进制安全的人。本次我学习的案例是木马和病毒常用的一个技术:确保只有一个病毒或者木马在系统中运行,即运行单一实例。对于病毒和木马而言,如果多次重复运行,会增加暴露的风险。所以要确保系统...
windows堆栈溢出简易测试代码 逆向分析
weixin_30695195的博客
12-14 201
本文是对前面发的“windows堆栈溢出简易测试代码”里的代码进行逆向分析,还是逆向一下比较完善。工具:OD 1.main函数的反汇编代码 Code 100401120|55pushebp 200401121|.8BECmovebp,esp 300401123|.83EC40...
VirtualFree函数逆向分析笔记
最新发布
qq_43147121的博客
11-09 813
WindowsAPI逆向分析系列-virtualfree函数逆向
mian( )函数查找(Windows逆向分析)
Floydwish的博客
02-22 1252
以 Visual Studio编译的Hello World程序为例: 1、字符串分析法     搜索字符串Hello World并进入,跳转到上层函数(信息窗口),寻找标志:函数参数(main函数后两个参数是指针),exit等。 2、API下断栈回溯法      找到main函数中的Hello World并进入,在函数入口处下断,F9运行,查看堆栈情况,找到
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值