逆向课程第二讲,寻找main入口点

最新推荐文章于 2021-10-23 21:05:36 发布
最新推荐文章于 2021-10-23 21:05:36 发布
阅读量332 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heshaai6843/article/details/107439211
版权
这篇博客介绍了如何识别VC6.0和VS系列的Debug及Release版本程序的入口点。主要方法包括通过栈回溯、查看API调用以及使用OD和IDA等逆向工具,寻找main函数的特征,如三个push后的Call指令。在Debug版本中,由于有符号信息,定位更直观;而在Release版本中,由于优化,需要更细致地分析反汇编代码。
摘要由CSDN通过智能技术生成

一丶识别各个程序的入口点

入门知识,识别各个应用程序的入口点

(举例识别VC 编译器生成,以及VS编译生成的Debug版本以及Release版本)

1.识别VC6.0 Debug版本

1.1 首先,新建一个VC debug版本的程序,然后F5运行,可以看到栈回溯窗口

1.2 而后通过栈回溯窗口,点击mainCRTStarup,查看main函数之前会调用什么API

确定之后,OD打开查看.

可以看到调用API的位置,但是怎么确定那个是入口点,我们知道, VC中的main函数是3个参数,那么我们只需要找到

三个push 然后一个Call的位置,则可以确定,(确定也是要你F7跟进去,看看代码是不是main函数的代码,或者参数传参是什么)

1.3确定main入口点

最低0.47元/天 解锁文章
heshaai6843
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
代码逆向 寻找main函数入口.docx 有汇编
04-19
逆向的第一步是什么?这要问你学习C语言的第一步是什么,很自然的,逆向的第一步当然也是大名鼎鼎“HelloWorld!”了。但是也不要因此就误认为这一节会很简单,如果你是第一次接触逆向的话,那么这一节还是有些难度的。 好的,让我们先写一个世界上最出名的程序: int _tmain(int argc, _TCHAR* argv[]) { printf("Hello World!\r\n"); return 0; }
逆向分析】查找程序入口
qq_45972928的博客
04-20 3058
工具:OllyDBG 链接:https://pan.baidu.com/s/1ApV8xzmlI00TeokUF6cmZw?pwd=6ilp 提取码:6ilp 1、尾部跳转法 跳转指令位于代码的尾部且跳转到一个很远的位置 而且在这条指令的后面,会存在着非常多的0x00字节,也就是一大堆无意义的代码 进行跳转即可发现程序入口 2、OD的插件法 击:插件->OllyDump->Find OEP by setting Nop(Trace over) 会自动寻找入口 3、利用p.
逆向编程-入口地址了解
阿Q在行走
02-02 573
程序在进行入口函数地址执行之前,先将执行下列函数,为程序的运行准备环境。 main函数被调用前先要调用的函数如下: getversion(); 获取当前运行平台的版本号。控制台程序运行在Windows模拟的dos下,因此这里获取的版本好为ms-dos的版本信息。 _heap_init(); 用于初始化堆栈空间。在函数实现中使用HeapCreate申请堆空间,申请空间的大小由_heap_init传递...
逆向程序分析:Win32程序入口函数
CodeBowl的博客
10-23 3264
逆向程序分析:Win32程序入口函数Winmain() Win32程序Winmain()函数说明参考资料 现在是无线时代,从事Windows相关开发逆向工作的人越来越少,涌入的新人更是少之又少,目前自己也是新手,记录一下学习过程 Winmain() Win32程序 很多人可能不知道win32程序和控制台程序有什么区别,这个我们可以通过修改项目的属性配置来看一下: 在这个地方,我们可以把项目属性修改为窗口程序,然后运行程序,发现会报错 在这个地方,我们可以把项目属性修改为窗口程序,然后运行程序,发现会报
HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口hook_入口
最新发布
09-24
程序的入口是执行的第一个指令地址,通常是`main`函数或`WinMain`函数入口Hook是在程序启动前或启动时对入口进行修改,插入自定义代码,这样在程序真正开始执行之前,可以进行一些预处理操作,比如环境检查...
逆向工程代码
02-26
逆向工程代码是一种技术,主要用于理解已编译的软件或程序如何工作,通常是通过分析其二进制形式。在这个场景中,"逆向工程代码"指的是一个与第十四周作业相关的项目,目的是深入理解给定的代码,创建教程来解释它的...
VMProtect逆向分析
12-04
在进行逆向分析的过程中,理解VMP(Virtual Machine Protect)的入口是至关重要的第一步。本文将深入探讨VMProtect逆向分析的关键技术,并重解不同版本中VMP入口的变化。 ##### 1.1 VMP 2.0 版本之前的入口 ...
C++反汇编视频教程(代码+课件+视频全套价值300元的付费教程)
04-04
价值500元的C++反汇编收费课程课程介绍 本套课程主要探讨如何读懂 C/C++ 语言程序的反汇编代码。所谓反汇编,简单的就是把可执行文件的二进制编码翻译成汇编语言代码,从汇编代码中读懂原高级语言...第二 动态
逆向编译技术.7z
08-20
只要在二进制程序中识别出编译器签名,就不去反编译这些编译器启动代码(start-up)和库子程序:对于前者,从最后的目标程序去掉启动代码的那些例程,反编译器从主(main)程序入口开始分析;对于后者,那些子程序用其...
【笔记】OllyDBG 找程序主函数入口地址总结
weixin_33713707的博客
07-27 1209
因为期末考试的原因,再加上参加高考XX的缘故,接着又是信息安全大赛,完了之后发现自己有好久没有去动过OllyDBG了,shellcode这东西也好久没在深入过了。突然有一天,Ivan这小子找了个挑战题说让我先弄弄,看能不能让新来的同志上手练习下漏洞利用。结果发现自己找了好半天,反反复复调试了几遍才找到程序主函数入口地址。 这个是使用OllyDBG最基础...
SG Input 软件安全分析之逆向分析
weixin_30641999的博客
04-26 198
前言 通过本文介绍怎么对一个 windows 程序进行安全分析。分析的软件版本为 2018-10-9 , 所有相关文件的链接 链接:https://pan.baidu.com/s/1l6BuuL-HPFdkFsVNOLpjUQ 提取码:erml 逆向分析 定位核心代码 拿到一个软件首先需要进行攻击面的探测,即找到尽可能多的可以与程序进行交互的入口,有数据交互的地方就有可能会出现漏洞。首先对软...
C语言main函数查找,代码逆向(一)——寻找main函数入口
weixin_29452603的博客
05-19 1027
该楼层疑似违规已被系统折叠隐藏此楼查看此楼004113A0 PUSH EBP ; 函数入口004113A1 MOV EBP, ESP004113A3 SUB ESP, 0C0004113A9 PUSH EBX004113AA PUSH ESI004113AB PUSH EDI004113AC LEA ED...
OD逆向时各编程语言入口特征码
格物致知
02-06 1322
Microsoft Visual C++ 6.0 00496EB8 >/$ 55 PUSH EBP ; (初始 cpu 选择) 00496EB9 |. 8BEC MOV EBP,ESP 00496EBB |. 6A FF PUSH -1 00496EBD |. 68 40375600 PUSH Screensh.00563740 00496EC2 |. 6
脱壳:OEP(即程序入口)查找 --- 基本思路和常见方法
turbocc 因程序而激情
05-20 5251
OEP:程序的入口,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。PUSHAD (压栈) 代表程序的入口,POPAD (出栈) 代表程序的出口,与PUSHAD相对应,一般找到这个,OEP就在附近。 常见寻找OEP脱壳的方法 方法一: 1.用OD载入,不分析代码! 2.单步向下跟踪F8,是向下跳的让它实现 3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断——运行到所选) 4.绿色线条表示跳转没实...
Android逆向工程:实战!解在Smali代码中如何快速定位找到关键代码
热门推荐
奋进的代码
09-07 1万+
好了小伙伴们,从今天开始,我们就要开始逐步地学习在逆向工程中的正确操作,包括快速定位,修改逻辑,插入代码等。前面的相关工具学习相当于牢固地基,接下来也正是需要建高楼的时候了。在接下来的解中我也会给大家介绍在逆向工程中实用的小技巧,一定要好好学习呀! 在本篇博客中,你将会学习到如何快速定位到关键代码的相关知识和技巧,其核心技术我这里总结一下就是:顺藤摸瓜!在茫茫一望无际的Smali代码中要找到...
逆向工具】IDA使用1-VS2015版本debug查找Main函数,加载符号文件
weixin_30954607的博客
03-25 649
IDA 常见操作 空格,切换反汇编视图 选择CALL或是跳转 进入函数内部或是跳转处 返回键 ESC daq.exe 分析32位程序 ,生成的IDA数据库文件是 .idb Idap64.exe 分析64位程序, 生成的IDA数据库文件是 .i64 查找程序main函数入口 在exports选项卡下找到入口 双击start_0 就进到了函数入口处。在没有导入签名库识别库函数前,...
各种编程语言入口特征码
yzzd的csdn博客
07-30 1139
 Microsoft Visual C++ 6.0<br /><br />00496EB8 >/$   55          PUSH EBP                               ;   (初始 cpu 选择)<br />00496EB9   |.   8BEC       MOV EBP,ESP<br />00496EBB   |.   6A FF       PUSH -1<br />00496EBD   |.   68 40375600 PUSH Screensh.00563
ollydbg找到主程序入口
08-12 2716
通常用OllyDBG打开一个程序之后,并没有直接跳到程序主函数入口地址,而是在进行一些初始化工作,这个是需要跳过的。      如果你对反汇编比较熟悉的话可以直接找函数入口地址:      1. 找几个压栈指令      2. 压栈完了之后就是对栈的初始化      3. 通常在压栈指令之前都有一个跳转指令(这个有时地址偏移比较大)      如果上述都不太熟悉的话可以中规中矩的进行
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值