两种方法获取文件OEP

最新推荐文章于 2022-07-05 10:05:29 发布
最新推荐文章于 2022-07-05 10:05:29 发布
阅读量1.6k 收藏
点赞数 1
分类专栏: PE/Virus 文章标签: dos header image file null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/evi10r/article/details/6712059
版权

读取的字段都是一样的,只是一个直接从PE文件中读取,一个映射到内存后再读取

1.文件直接访问法

BOOL ReadOEPByFile(LPCTSTR szFileName)
{
	HANDLE hFile;
	hFile=CreateFile(szFileName,GENERIC_READ,FILE_SHARE_READ,0,OPEN_EXISTING,FILE_FLAG_SEQUENTIAL_SCAN,0);
	if (INVALID_HANDLE_VALUE==hFile)
	{
		AfxMessageBox(_T("打开文件失败!"));
		return FALSE;
	}
	DWORD dwOEP,cbRead;
	IMAGE_DOS_HEADER dos_header[sizeof(IMAGE_DOS_HEADER)];//IMAGE_DOS_HEADER dos_header[1];
	if (!ReadFile(hFile,dos_header,sizeof(IMAGE_DOS_HEADER),&cbRead,NULL))
	{
		AfxMessageBox(_T("读取DOS头部失败!"));
		CloseHandle(hFile);
		return FALSE;
	}
	int nEntryPos=dos_header->e_lfanew+40;
	SetFilePointer(hFile,nEntryPos,NULL,FILE_BEGIN);
	if (!ReadFile(hFile,&dwOEP,sizeof(dwOEP),&cbRead,NULL))
	{
		CloseHandle(hFile);
		return FALSE;
	}
	CloseHandle(hFile);
	CString strOEP;
	strOEP.Format(_T("OEP:0x%X"),dwOEP);
	AfxMessageBox(strOEP);
	return TRUE;
}

2.通过内存映射读取

BOOL ReadOEPByMemory(LPCTSTR szFileName)
{
	HANDLE hFile;
	HANDLE hMapping;
	PVOID pBaseAddr;
	if ((hFile=CreateFile(szFileName,GENERIC_READ,FILE_SHARE_READ,
		0,OPEN_EXISTING,FILE_FLAG_SEQUENTIAL_SCAN,0))==INVALID_HANDLE_VALUE)
	{
		AfxMessageBox(_T("打开文件失败!"));
		return FALSE;
	}
	//创建内存映射文件
	if (!(hMapping=CreateFileMapping(hFile,0,PAGE_READONLY|SEC_COMMIT,0,0,0)))
	{
		AfxMessageBox(_T("Mapping failed."));
		CloseHandle(hFile);
		return FALSE;
	}
	//把文件映像存入pBaseAddr
	if (!(pBaseAddr=MapViewOfFile(hMapping,FILE_MAP_READ,0,0,0)))
	{
		AfxMessageBox(_T("View Failed."));
		CloseHandle(hMapping);
		CloseHandle(hFile);
		return FALSE;
	}
	IMAGE_DOS_HEADER *dos_header=(IMAGE_DOS_HEADER *)pBaseAddr;
	IMAGE_NT_HEADERS *nt_header=(IMAGE_NT_HEADERS *)((DWORD)pBaseAddr+dos_header->e_lfanew);
	DWORD dwOEP=nt_header->OptionalHeader.AddressOfEntryPoint;
	//清除内存映射和关闭文件
	UnmapViewOfFile(pBaseAddr);
	CloseHandle(hMapping);
	CloseHandle(hFile);

	CString strOEP;
	strOEP.Format(_T("OEP:0x%X"),dwOEP);
	AfxMessageBox(strOEP);
	return TRUE;
}

第二种方法要注意DOS STUP与PE头不一定是紧挨着的,一定要通过(DWORD)pBaseAddr+dos_header->e_lfanew定位到IMAGE_NT_HEADERS

如果还要读入口点的代码或其它东西,把PAGE_READONLY|SEC_COMMIT换成PAGE_READONLY|SEC_COMMIT|SEC_IMAGE会给你带来很大的便利

谢谢列宁。

W1nds
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vc编写自己的壳之一:对pe文件OEP的修改
rageliu的专栏
03-16 3033
最近学习pe格式和写壳,最终目标是写出自己的壳,并有一定的anti能力.调试了下修改pe文件oep,然后在新的入口点什么都没做,只是jmp回到原始入口点,程序继续执行.测试通过. 准备明天在自己入口点的地方添加一个MessageBox代码.很多是网上朋友的代码,借用下不好意思,如有版权等问题请联系偶,偶会尽快处理,谢谢.void CPeSecDlg::Go(){ HANDLE hFi
七种OD查找oep方法
07-15
七种OD查找oep方法 单步跟踪法 ESP定律法 内存镜像法 一步到达OEP 最后一次异常法 模拟跟踪法 “SFX”法
VC读取PE文件OEP
冷寒生读书笔记
12-04 1532
OEP是PE文件被加载时的起始地址,该值位于PE文件头的IMAGE_OPTIONAL_HEADER32结构体。照着网上的教程写了一遍,收获不小,现在对PE文件的前两部分已经有一定的了解了。下面的代码很简单,首先用CreateFile读取PE文件,PE文件的起始位置是DOS部分,DOS部分又分为DOS MS文件头和DOS块,在DOS MS文件包含了PE文件头的起始地址,而DOS的数据没
通过内存映射读取OEP
李元静
08-21 1511
通过内存映射读取OEP值 获得OEP值的另一种方法是通过内存映射来实现,此方法也需要熟悉PE的文件结构。与直接访问PE的方法不同,内存映射的方法首先把PE文件映射到计算机的内存,再通过内存的基指针获得IMAGE_DOS_HEADER的头指针,由此再获得IMAGE_ OPTIONAL_HEADER指针,这样就可以得到AddressOfEntryPoint的值。下面是通过内存映射获得OEP值的方法
VC读取PE文件OEP(程序入口)
weixin_33797791的博客
06-12 818
为什么80%的码农都做不了架构师?>>> ...
读取PE文件OEP
08-21
第一种方法,通过文件流读取OEP,涉及到打开文件、定位到可选头部分,并读取`AddressOfEntryPoint`的值。在Delphi,可以使用`TFileStream`类实现文件操作,结合类型转换和偏移计算来获取OEP。 第二种方法,使用...
OEP.rar_OEP_visual c
最新发布
09-23
在VC++,我们可以使用WinAPI函数如`ImageHlp.dll`库的`ImageDirectoryEntryToData`和`RtlImageNtHeader`等,来读取和解析PE文件的结构,获取OEP信息。此外,还可以使用如`MinGW`的`libpe`库等第三方库,提供更...
常见寻找OEP方法
03-25
本文将详细介绍几种常用的寻找OEP方法,并通过具体的步骤指导读者如何在实际操作应用这些技巧。 #### 一、使用OllyDBG进行调试 OllyDBG是一款功能强大的调试工具,广泛应用于软件逆向分析领域。通过以下步骤...
显示.exe文件OEP
04-30
它可能是通过读取PE文件,解析其结构,然后通过某种启发式方法(例如,查找常见的解压或解密函数特征)来定位OEP。 在实际应用,找到OEP对于逆向工程师来说是至关重要的,因为这有助于理解程序的启动过程,以及...
指针实现找PE OEP
yeook的专栏
12-16 549
//指针实现找出OEP如口点  PE文件//PE  在debug版本下从地址0x00400000  往下找第4行 最后4位地址存放的数据就是偏移量   加上0x00400000  //  再往下数2行半   之后开始的4个字节存储的值就是OPE的入口点偏移值   //.exe文件用WinHex打开  地址是00000000开始  查找方式和debug版本下一样   看如下截图#includ
查找OEP PE入口点
Mr.Out的专栏
01-19 1784
oep是什么oep是程序入口点oep=original entry pointep=entry point O是指原来的意思E是指入口P是指点所以全称是原入口点的意思如何找oep(入口点)PE后两行半再过四个字节PE:一开始数四行退四个字节
读取文件的6种方法
热门推荐
weixin_42238077的博客
09-18 1万+
读取文件的5种方法 作者:冯德平(山野雪人) #逐行读取文件 #方法1: #该方法每次读出一行内容,所以,读取时占用内存小,比较适合大文件, #该方法返回一个字符串对象。 file = open(r"D:\temp\ccc.txt") # 打开文件,返回一个文件对象 line = file.readline() # 调用文件的 readline()方法 #逐行读取: while line: print(line, end = '') # end = ''为忽略换
一个简单的文本编辑小程序,c++实现(附源码)
m0_69084985的博客
07-05 694
一个简单的文本编辑小程序,c++实现(附源码)
快速查找UPX 的OEP方法(一)
蜂刺
10-27 1008
方法一UPX的压缩器的特征之一是,其EP代码被包含在PUSHAD和POPAD之间,并且跳转到OEP的JMP指令会紧接着出现在PUSHAD指令之后,我们只需要找到符合以下两点条件的JMP指令并设置断点就可以顺利找到OEP: 条件一:这条JMP指令上方几条指令内有PUSHAD 条件二:这条JMP指令跳转到主程序空间内,且跟随后第一条指令是push XXX 方法方法二也利用了PUSHAD \P
文件读取方式
q911137905的博客
05-12 622
#过程 #1.打开文件 #2.读数据 #3.关闭文件 #1,w 写模式,它是不能读的,如果用w模式打开一个已经存在的文件,会清空以前的文件内容,重新写 #w+ 是读写内容,只要沾上w,肯定会清空原来的文件 #2,r 读模式,只能读,不能写,而且文件必须存在 #r+ 是读写模式,只要沾上r,文件必须存在 #3,a 追加模式,也能写,在文件的末尾添加内容 #4,rb+、wb+、ab+,这种是二进制模式...
脱壳笔记-寻找OEP方法总结
走在成长的路上
01-03 7431
详解手动跟踪法、ESP定律方式、内存二次断点法的原理与使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值