【逆向分析】查找程序入口点

已于 2022-04-22 00:44:42 修改
阅读量2.9k 收藏 9
点赞数
分类专栏: 逆向分析 文章标签: 逆向 入口点 OllyDBG
于 2022-04-20 21:53:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45972928/article/details/124307789
版权

工具:OllyDBG
链接:https://pan.baidu.com/s/1ApV8xzmlI00TeokUF6cmZw?pwd=6ilp
提取码:6ilp

1、尾部跳转法

跳转指令位于代码的尾部且跳转到一个很远的位置
而且在这条指令的后面,会存在着非常多的0x00字节,也就是一大堆无意义的代码
在这里插入图片描述
进行跳转即可发现程序入口点
在这里插入图片描述

2、OD的插件法

点击:插件->OllyDump->Find OEP by setting Nop(Trace over)
在这里插入图片描述
会自动寻找入口点
在这里插入图片描述

3、利用pushad和popad查找入口点

a)可以一路F8,快速浏览程序,这里发现pushfd和pushad,用于保存所有的寄存器和标志。那么加壳程序很可能在跳转到OEP之前,再恢复所有的寄存器和标志,所以我们可以通过在栈上设置一个硬件访问断点来尝试定位OEP。一般来说,在尾部跳转的位置之前会有popad或者popfd指令,通过这个就可以找到OEP了在这里插入图片描述
b)这些状态它在进入入口点之前一定会出栈,所以我们在该处设置硬件访问断点
先将程序单步运行至pushad之后,然后右键单击ESP,选择数据窗口跟随
在这里插入图片描述
然后选中数据窗口中的前四个字节,右键单击-》断点-》硬件访问-》Dword
在这里插入图片描述
然后F9,直接执行到出栈访问位置,然后在附近寻找跳转语句进入入口点
0040754f为断点位置,然后发现下方的retn,可能返回一个新位置
在这里插入图片描述
成功找到入口点
在这里插入图片描述

4、“ESP定律”(并不是真万能)

a)不断F8单步执行,直到ESP的值变成红色的时候停下来
b)在ESP值上单击鼠标右键,选择“数据窗口中跟随”
c)选中数据窗口中前四个字节的内容,单击鼠标右键,选择“断点”->“硬件访问”->“Dword

酥酥~
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反编译工具IDA Freeware 7.6以及Qt5 程序初步逆向分析+解析脚本
01-09
反编译工具IDA Freeware 7.6以及Qt5 程序初步逆向分析+解析脚本 工具可反编译成汇编。
OD加载程序的方式
LDWJ2016的博客
09-18 6061
1. OllyDbg可以用两种方式加载被调试的目标程序,一是通过CreateProcess创建进程,二是用函数DebugActiveProcess将OD     绑定到一个正在运行的程序上。     1.1 用CreateProcess创建进程           1.1.1  单击菜单“File / Open” 或 快捷键F3打开要调试的可执行程序OD会调用CreateProcess创建一个用...
二进制菜鸟之几种寻找程序入口的方法
Blood_Pupil的博客
07-15 1222
初学二进制,然而把可执行文件拖到OD里连从哪开始调起都不知道,Main函数在哪?一脸懵逼,还好有搞二进制的舍友。本文就总结下在不加壳情况下几种判断程序入口的方式 借助于PE工具 PE中的Entry Point给出的只是入口的偏移需要在其基础上加0x00400000 IDA OD 将可执行文件拖入OD后使用ALT+E快捷键查看Executable modules,从中获得入口地址。 字符串或...
OllyDbg
cyynid的博客
02-25 2649
本文通过吾爱破解论坛上提供的OllyDbg版本为例,讲解该软件的使用方法。
JAVA语句解释其一:程序入口地址
m0_66633535的博客
03-02 1220
public static void main(String[] args) 整体解释为JAVA程序入口地址 为了更加清晰它的含义,我使用一段代码将语句拆开来解释 解释内容出自kiera的文章,非常感谢kiera的解答。 import java.util.Scanner; public class Explain{ public static void main(String[] args){ system.out.println("please en.
ollydbg调试使用
zzx751775692的博客
12-05 5026
缓冲区溢出攻击——使用ollydbg进行调试
常见程序入口特征
AlexSmoker的博客
02-22 2259
#Delphi入口程序 Delphi开头的入口程序是正常的压栈,然后调用一个E8字节类型的call 0044CA98 > $ 55 push ebp 0044CA99 . 8BEC mov ebp,esp 0044CA9B . 83C4 F0 add esp,-0x10 0044CA9E . B8 B8C84400 mov eax,delphi7?0044C8B8 ; UNICODE “;...
逆向实例程序配合 od使用
02-16
2. **分析入口**:在OD中,程序入口通常是程序开始执行的地方。找到入口,可以观察程序如何初始化和分配资源。 3. **设置断**:断允许我们在特定指令执行前暂停程序。例如,我们可以设置在主函数或特定...
逆向动态调试windows pe程序
06-16
本篇文章将深入探讨如何通过动态调试来分析Windows PE程序,特别是利用Ollydbg这款免费的逆向工程工具。 首先,我们要理解什么是PE文件格式。PE格式包含了程序的代码、数据、资源以及运行时所需的元数据。在Windows...
VMProtect逆向分析
02-01
这可能涉及到静态分析(如查找壳的特征和入口)和动态分析(如跟踪程序行为和事件)。 7. 实战案例:通过实际的案例分析,如逆向一个使用VMProtect保护的游戏或软件,我们可以更直观地学习如何应用理论知识,解决...
OllyDBG 入门系列(三)-函数参考
07-15
OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。
几个逆向开发C++轮子
03-06
这些“轮子”在逆向工程中是基础且实用的工具,它们使得开发者能够深入洞察程序的运行过程,进行调试、分析和修改。掌握这些技术对于任何想在逆向工程领域深造的人来说都至关重要。在实际应用中,它们可以帮助我们...
小甲鱼解密系列调试篇——OD使用教程笔记(持续更新中)
06-10 7082
一、修改内容 二、
逆向分析之寻找main函数
yushiqiang1688的专栏
01-19 4941
逆向分析之寻找main函数作者: 日月明时间:2010-01-19 工具:ollydbg、IDA、peid    刚接触逆向分析,看到一行行的汇编代码,不时感到一阵阵头痛,不知道从何入手。思来想去,还是想看看我们在C语言中的main函数它在什么地方吧。。。。。。。。。。。看看C语言的main函数吧 int main(int argc, char* argv[]){ 
OD脱壳-再次载入-软件无法找到入口
Bill
03-26 1864
OD脱壳后出现无法找到入口
脱壳:OEP(即程序入口查找 --- 基本思路和常见方法
turbocc 因程序而激情
05-20 5072
OEP:程序入口,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。PUSHAD (压栈) 代表程序入口,POPAD (出栈) 代表程序的出口,与PUSHAD相对应,一般找到这个,OEP就在附近。 常见寻找OEP脱壳的方法 方法一: 1.用OD载入,不分析代码! 2.单步向下跟踪F8,是向下跳的让它实现 3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断——运行到所选) 4.绿色线条表示跳转没实...
获取程序入口地址
friendan的专栏
02-23 8649
// GetExeEntryPoint.cpp : 定义控制台应用程序入口。 // #include "stdafx.h" #include #include #pragma comment(lib, "Psapi.lib") int _tmain(int argc, _TCHAR* argv[]) { printf("GetCurrentProcess:0x%d \n", Ge
代码逆向(一)——寻找main函数入口
热门推荐
蛛丝
08-12 1万+
<br />逆向的第一步是什么?这要问你学习C语言的第一步是什么,很自然的,逆向的第一步当然也是大名鼎鼎“HelloWorld!”了。但是也不要因此就误认为这一节会很简单,如果你是第一次接触逆向的话,那么这一节还是有些难度的。<br /><br />      好的,让我们先写一个世界上最出名的程序:<br /><br />int _tmain(int argc, _TCHAR* argv[])<br />{<br />    printf("Hello World!/r/n");<br />    ret
倍加福ENA58IL-R-ProfiNET手册(译文)
最新发布
07-11
本手册描述了配备PROFINET接口的Pepperl+Fuchs绝对旋转编码器如何集成到PROFINET网络中。 本手册适用于以下绝对旋转编码器类型: ■■Exx58N-...PN... ■Exx58N-。。。请注意。。。 ■■ENA58IL-...B17 ■ENA58IL-。。。B17
Ollydbg逆向分析helloworld控制台程序
10-15
好的,我会尽力回答你的问题。首先,你需要下载并安装Ollydbg,然后打开helloworld控制台程序。接下来,你需要在Ollydbg中设置断,以便在程序执行到特定位置时暂停程序。你可以使用F9键来运行程序,使用F2键来设置断。当程序执行到断处时,它将暂停执行,然后你可以使用F8键逐步执行程序,并查看寄存器和内存中的值,以便分析程序的行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值