几种程序语言入口点特征

最新推荐文章于 2020-04-16 20:42:18 发布
最新推荐文章于 2020-04-16 20:42:18 发布
阅读量596 收藏
点赞数
分类专栏: Hack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kong62/article/details/10513869
版权

网上看到的一篇文章,有助于脱壳学习,就转载过来了,也没找到文章出处,不知如何标明了。

Microsoft Visual C++ 6.0

00496EB8 >/$   55       PUSH EBP                      (初始 cpu 选择)
00496EB9  |.   8BEC     MOV EBP,ESP
00496EBB  |.   6A FF     PUSH -1
00496EBD  |.   68 40375600 PUSHScreensh.00563740
00496EC2  |.   68 8CC74900 PUSHScreensh.0049C78C             SE 处理程序安装
00496EC7  |.   64:A10000000>MOV EAX,DWORD PTR FS:[0]
00496ECD  |.   50       PUSH EAX
00496ECE  |.   64:892500000>MOV DWORD PTR FS:[0],ESP
00496ED5  |.   83EC 58   SUB ESP,58
---------------------------------------------------------------------------------------
Microsoft Visual Basic 5.0 / 6.0

00401166   - FF25 6C104000 JMPDWORD PTRDS:[<&MSVBVM60.#100>]   ; MSVBVM60.ThunRTMain
0040116C >   68147C4000    PUSH PACKME.00407C14
00401171 E8 F0FFFFFF    CALL<JMP.&MSVBVM60.#100>
00401176 0000        ADD BYTE PTR DS:[EAX],AL
00401178 0000        ADD BYTE PTR DS:[EAX],AL
0040117A 0000        ADD BYTE PTR DS:[EAX],AL
0040117C 3000        XOR BYTE PTR DS:[EAX],AL

或省略第一行的JMP

00401FBC >   68D0D44000       pushdumped_.0040D4D0
00401FC1 E8 EEFFFFFF       call<jmp.&msvbvm60.ThunRTMain>
00401FC6 0000          add byte ptr ds:[eax],al
00401FC8 0000          add byte ptr ds:[eax],al
00401FCA 0000          add byte ptr ds:[eax],al
00401FCC 3000          xor byte ptr ds:[eax],al
00401FCE 0000          add byte ptr ds:[eax],al
----------------------------------------------------------------------
BC++

0040163C > $ /EB 10     JMP SHORTBCLOCK.0040164E
0040163E     |66       DB 66                        CHAR 'f'
0040163F     |62       DB 62                        CHAR 'b'
00401640     |3A       DB 3A                        CHAR ':'
00401641     |43       DB 43                        CHAR 'C'
00401642     |2B       DB 2B                        CHAR '+'
00401643     |2B       DB 2B                        CHAR '+'
00401644     |48       DB 48                        CHAR 'H'
00401645     |4F       DB 4F                        CHAR 'O'
00401646     |4F       DB 4F                        CHAR 'O'
00401647     |4B       DB 4B                        CHAR 'K'
00401648     |90       NOP
00401649     |E9       DB E9
0040164A . |98E04E00    DD OFFSETBCLOCK.___CPPdebugHook
0040164E > \A1 8BE04E00 MOV EAX,DWORD PTRDS:[4EE08B]
00401653 .   C1E0 02   SHL EAX,2
00401656 .   A3 8FE04E00 MOVDWORD PTR DS:[4EE08F],EAX
0040165B .   52       PUSH EDX
0040165C .   6A 00     PUSH 0                        ; /pModule =NULL
0040165E .   E8 DFBC0E00 CALL<JMP.&KERNEL32.GetModuleHandleA>; \GetModuleHandleA
00401663 .   8BD0     MOV EDX,EAX
-----------------------------------------------------------------------------------------------
Borland Delphi 6.0 - 7.0

00509CB0 > $   55       PUSH EBP
00509CB1 .   8BEC     MOV EBP,ESP
00509CB3 .   83C4 EC   ADD ESP,-14
00509CB6 .   53       PUSH EBX
00509CB7 .   56       PUSH ESI
00509CB8 .   57       PUSH EDI
00509CB9 .   33C0     XOR EAX,EAX
00509CBB .   8945 EC   MOV DWORD PTRSS:[EBP-14],EAX
00509CBE .   B8 20975000 MOVEAX,unpack.00509720
00509CC3 .   E8 84CCEFFF CALLunpack.0040694C
-----------------------------------------------------------------------------------------------
易语言入口
00401000 >   E806000000    call dump_.0040100B
00401005 50           pusheax
00401006 E8 BB010000    call<jmp.&KERNEL32.ExitProcess>
0040100B 55           pushebp
0040100C 8BEC        mov ebp,esp
0040100E 81C4 F0FEFFFF add esp,-110
00401014 E9 83000000    jmpdump_.0040109C
00401019 6B72 6E 6C    imulesi,dword ptr ds:[edx+6E],6C
0040101D 6E           outs dx,byteptr es:[edi]


也可能是这样的入口
Microsoft Visual C++ 6.0 [Overlay] E语言

00403831 >/$   55       PUSH EBP
00403832  |.   8BEC     MOV EBP,ESP
00403834  |.   6A FF     PUSH -1
00403836  |.   68 F0624000 PUSHNisy521.004062F0
0040383B  |.   68 A44C4000 PUSHNisy521.00404CA4                SE 处理程序安装
00403840  |.   64:A10000000>MOV EAX,DWORD PTR FS:[0]
00403846  |.   50       PUSH EAX
00403847  |.   64:892500000>MOV DWORD PTR FS:[0],ESP
-------------------------------------------------------------------
MASM32 / TASM32入口

00401258 >/$   6A00      push 0                        ; /pModule =NULL
0040125A  |.   E8 47000000 call<jmp.&kernel32.GetModuleHandleA>; \GetModuleHandleA
0040125F  |.   A3 00304000 mov dword ptrds:[403000],eax
00401264  |.   6A 00     push 0                        ; /lParam =NULL
00401266  |.   68 DF104000 pushdump.004010DF                 ; |DlgProc =dump.004010DF
0040126B  |.   6A 00     push 0                        ; |hOwner =NULL
0040126D  |.   6A 65     push 65                     ; |pTemplate = 65
0040126F  |.   FF35 00304000 push dword ptrds:[403000]          ; |hInst = NULL
00401275  |.   E8 56000000 call<jmp.&user32.DialogBoxParamA>   ; \DialogBoxParamA-

kong62
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
5种常用程序入口特征
09-15
5种常用程序入口特征 C++ (Microsoft Visual C++ 6.0) Delphi (Borland Delphi 6.0 - 7.0) VB (Microsoft Visual Basic 5.0 / 6.0) BC++ (Borland C++ 1999) E语音 这个和C极度像,要分清 Dasm:汇编
程序OEP入口特征
12-27
常用程序OEP入口特征
一些程序OEP入口特征
weixin_30597269的博客
10-19 103
声明: 1.本文中使用的例子来源于吾爱破解的官方教程第一课中的无壳例子,本人利用空闲时间挨个进行查看并截图纪录下来 2.欢迎补充讨论 一些程序OEP入口特征 一、 AMS程序 1.载入PEID 2.载入OD 二、 AutoIt_v3程序 1.载入PEID 2.载入OD ...
各种编程语言入口特征
yzzd的csdn博客
07-30 1127
 Microsoft Visual C++ 6.0<br /><br />00496EB8 >/$   55          PUSH EBP                               ;   (初始 cpu 选择)<br />00496EB9   |.   8BEC       MOV EBP,ESP<br />00496EBB   |.   6A FF       PUSH -1<br />00496EBD   |.   68 40375600 PUSH Screensh.00563
几种程序的反汇编代码入口特征
keilsi的专栏
11-21 2913
<br /><br />一.Borland Delphi 6.0 - 7.0<br />004029BC > $  55                PUSH EBP<br />004029BD   .  8BEC              MOV EBP,ESP<br />004029BF   .  83C4 F0          ADD ESP,-10<br />004029C2   .  53                PUSH EBX<br />004029C3   .  B8
程序源码:2022虎年全新头像框制作微信小程序源码下载-多玩法安装简单
06-08
内包含了虎年虎娃框,2022元旦新年框,国庆几种分类 每一种分类都包含了多种模板制作 虎娃的小编个人感觉那个卡通也是挺可爱的! 另外整个小程序的背景UI都是以虎年为背景,所以总体的感觉还是很不错! 下面来看看小...
《汇编语言》-第三版-王爽-以及课后答案
04-15
16.4程序入口地址的直接定址表 实验16编写包含多个功能子程序的 中断例程 第17章使用BIOS进行键盘输入 和磁盘读写 17.1int 9中断例程对键盘输入的处理 17.2使用int 16h中断例程读取 键盘缓冲区 17.3字符串的输入 ...
Java程序设计案例教程-第8章-多线程编程.pptx
05-29
进程和线程的区别 进程和线程的区别可以总结为如下几: 一个程序至少有一个进程,一个进程至少有一个线程,线程是进程的一个实体,是CPU调度和分派的基本单位,它是比进程更小的能独立运行的基本单位。...
上海交大 C语言程序设计教案 张玉生.zip
01-15
教学方法 1. 通过简单实例演示C编程的魅力。了解C程序的基本结构。 2. 启动C集成开发环境,讲解每一部分的功能。 3. 讲解C数据类型的含义。 教学内容 ...作为算法,都应具备如下几个特征: ......
各种常见程序特征
qq_42205120的博客
04-16 1139
VB: push call <jmp.&MSVBVM6.0.#100> VC/E语言 离OEP不远处有SUB ESP,0X58 第一个CALL 调用为GetVersion VS: .release call jmp .debug 先jmp jmp后: push ebp mov ebp,esp call call pop BC++: oep处有一个短跳,后面有一个字符串 f...
不同语言编译程序入口总结
yusakul的博客
07-25 504
BC++程序特征 1. OEP特征 二进制特征:EB 10 66 62 3A 43 2B 2B 48 4F 4F 4B 90 第一个API调用:GetModuleHandlA API调用IAT时,采用模式是FF25 2.区段名称 区段分类较细 3.链接器版本 5.0 Delphi程序特征 1.OEP特征...
360 QVM启发式引擎的研究
kong62‘s Blog
08-29 3144
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">   360 QVM 确实比较恶心,最近研究发现了,正常的马(即没有异或、反启发之类加密)很容易免杀360,但是只要加入异或代码、反启发代码,360就一直查杀入口
手工脱壳:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
kong62‘s Blog
08-29 2513
刚在网上找了一个gh0st3.6,准备做下免杀,结果发现已经被加了一层万恶的壳子,真烦人啊。 peid查壳显示:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo <img title= "手工脱壳:UPX 0.89.6 - 1.02 / 1.05 - 1.24 - Markus Laszlo - 空流儿 - 空流儿 Kong62s Blog"
偷工减料制作自己的免杀木马 6月11日更新(秒杀主流11款杀软)
kong62‘s Blog
08-29 1543
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 很多新手在为能有一个免杀木马头疼,也相信很多人在饭客论坛上等待别人更新免杀,可是刚拿到手不久就又被杀了,呵呵,这里告诉大家一个小秘密,偷
歪歪提权器 【完全骗子罢了】
kong62‘s Blog
08-29 1407
上些天朋友发消息来说自己YY频道被黑掉了,今天又在论坛看到有人求 歪歪黑频道软件 ,于是就google了下载几个测试。。“歪歪黑马提权器3.8” “歪歪杀手终结者”“YY提权器4.1正式版”“歪歪白马提权器”等等   先看其中一个代表性的测试吧,原理最后说。。   打开虚拟机开始测试。。。首先看文件, 2.92M的程序,居然没有图标。。有意识的人都该开始起疑了吧,继续。。 <img tit
时隔两年VS竞技游戏平台安全依然薄弱
kong62‘s Blog
08-29 949
08年的时候,浪费了4年青春后离开了校门,工作后对网络技术比较感兴趣,于是就乱七八糟的学了一通。 一天,朋友问我VS竞技游戏平台密码忘记了,怎么找回来(原先是自动保存密码登录的),难道是考验我破解的功夫了??兴起,就去研究了下,结果没花5分钟时间破解完成,因为密码是一个简单的幼稚加密组合,后来还写了篇文章准备去杂志发表的,可是发现已经有人在之前已经写了,唉,运气不好阿 。。。   时过境迁,
过去的纪念(万利达最高权限)
kong62‘s Blog
08-29 539
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 08年的时候刚开始学习黑客技术,很菜。。正好买了 万利达的手机,1400大洋,结果没到3个月就挂了,至今还留在抽屉里做纪念。­ ­
node-v10.22.0-darwin-x64.tar.xz
最新发布
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
用Java语言使用Trie树实现T9键盘的算法设计代码
09-14
5. 创建一个名为Main的类作为程序入口,在main方法中进行以下操作: a. 创建一个Trie对象。 b. 从文件或其他方式读取单词字典,并使用insert方法插入到Trie树中。 c. 从用户输入获取一个T9数字序列。 d. 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值