Main()函数的前世今生

已于 2023-09-30 20:53:29 修改
阅读量346 收藏 1
点赞数 1
分类专栏: C与汇编 文章标签: c语言 c++
于 2023-09-08 23:25:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61553520/article/details/132768143
版权

        在开始分析程序之前,我们第一个要解决的问题,就是如何定位到main函数,想要从二进制逆向的角度分析出main函数,就必须要了解正向的代码下main函数的所有的细节和特

征。毕竟逆向的本质就是正向。

程序真正的入口

VS C++开发的程序在调试时总是从main或WinMain函数开始,这就让开发者误认为它们是程序的第一条指令执行处,这个认知其实是错误的。

main或WinMain函数需要有一个调用者,在它们被调用前,编译器其实已经做了很多事情,所以main或WinMain是“语法规定的用户入口”,而不是“应用程序入口”。

应用程序被操作系统加载时,操作系统会分析执行文件内的数据,并分配相关资源,读取执行文件中的代码和数据到合适的内存单元,然后才是执行入口代码,入 口 代 码 其 实 并 不 是 main 或 WinMain 函 数 , 通 常 是mainCRTStartup 、 wmainCRTStartup 、 WinMainCRTStartup 或wWinMainCRTStartup , 具体视编译选项而定 。

  • mainCRTStartup和wmainCRTStartup是控制台环境下多字节编码和 Unicode 编 码 的 启 动 函 数
  • WinMainCRTStartup 和wWinMainCRTStartup则是Windows环境下多字节编码和Unicode编码的启动函数。

VS2019的启动函数

VS C++ 在 控 制 台 和 多 字 节 编 码 环 境 下 的 启 动 函 数 为 mainCRTStartup , 由 系 统 库 KERNEL32.dll 负 责 调 用 , 在 mainCRTStartup中再调用main函数。使用VS2019进行调试时,入 口断点总是停留在main函数的首地址处。可以利用VS2019的栈回溯功能分析调用main函数的栈信息。

mainCRTSartup函数之前的高级源码无法查看

mainCRTSartup --  _scrt_common_main()  --  _scrt_common_main_seh()  --  invoke_main()  --  main()

main函数的识别

特征如下:

  • 有3个参数,分别是命令行参数个数、命令行参数信息和环境变量信息,而且main函数是启动函数中唯一具有3个参数的函数。同理,WinMain也是启动函数中唯一具有4个参数的函数。
  • main函数返回后需要调用exit函数,结束程序根据main函数调用的特征,找到入口代码第一次调用exit函数处,离exit最近的且有3个参数的函数通常就是main函数。

调用main()堆栈

样例代码

#include <stdio.h>


int main()
{
	printf("Hello World!");

	return 0;
}

通过VS2019查看main()函数调用的堆栈空间

转到mainCRTStartup()的反汇编,这是C++程序执行的第一个函数

mainCRTStartup先调用__scrt_common_main函数

转到__scrt_common_main()的反汇编

在反汇编代码中,__scrt_common_main第二个调用函数是__scrt_common_main_seh

之后__scrt_common_main_seh调用invoke_main()

转到invoke_main()的反汇编,发现调用 _main()函数

回到源代码

这就到main函数了,这里就到了main函数了,这里main函数有三个参数,分别是

  • __argc是参数个数
  • __argv是参数列表
  • 最后一个是环境指针
里面的每一个参数都是单独的一个函数

可以得出规律

  1. mainCRTStartup调用__scrt_common_main
  2. __scrt_common_main调用__scrt_common_main_seh,对应汇编是在第二个call上
  3. __scrt_common_main_seh调用invoke_main,对应在汇编的特征如下:
    1. int const main_result = invoke_main();源码是赋值给一个变量
    2. 这个函数参数是0个,后面会跟exit函数,exit函数的参数 是 invoke_main 的返回值
    3. call指令后面必有一个mov [ebp-0xXXX],eax
  4. invoke_main调用main

x64dbg定位main函数

进入程序入口,调用mainCRTStartup函数

调用__scrt_common_main函数

调用_scrt_common_main_seh

调用invoke_main比较复杂,先分析一下它的特征,在scrt_common_main_seh

会把invoke_main的返回值给main_result
int const main_result = invoke_main();


返回值会伴随一个exit 和 一个main_result,必然有一个ret
if (!__scrt_is_managed_app())
   exit(main_result);

return main_result;

定位invoke_main方法:

  1. 找到第一个ret
  2. 定位到call XXXX
  3. call指令后面必有一个mov [ebp-0xXXX],eax

定位ret

定位invoke_main()

在这里会看到四个函数调用,最后一个才是 main 函数

定位到main()函数

消息队列的前世今生:技术演进与发展历程大揭秘
AI天才研究院
05-23 668
消息队列的前世今生:技术演进与发展历程大揭秘 作者:禅与计算机程序设计艺术 1. 背景介绍 1.1 为什么需要消息队列? 在信息系统高速发展的今天,软件架构越来越复杂,系统之间交互的频率和数据量也越来越大。传统
多篇顶会看个体因果推断(ITE)的前世今生
Paper weekly
11-19 3233
©PaperWeekly 原创 ·作者 | 张一帆学校 | 中科院自动化所博士生研究方向 | 计算机视觉Background预测行动间的因果关系是一个非常重要的研究课题。例如,医生判断哪...
函数栈帧详解
南猿北者博客
07-26 1862
函数栈帧万字详解,学不会你来捶我!!!在学习函数的时候我们或许会有一些疑惑,比如1、局部变量是怎末创建的?2、为什么局部变量的值是随机值?3、函数是怎末传参的,传参的顺序是怎么样的?4、形参和实参是什么关系?5、函数调用是怎末实现的?6、函数调用结束后是怎末返回返回值的?今天,博主就和大家一起探讨一起探讨一下函数栈帧的创建和销毁,学会了些,我们的疑惑也就自然解决了;回答一下前面的问题httpshttpshttpshttpshttpshttpshttps。......
浅谈——众所周知的main()
qq_49639550的博客
09-18 299
浅谈——众所周知的main() 我们刚开始写java程序,一般写的第一句,或者最常见的一句,就是: public static void main(String[] args){},我想很多人都这样写过或者是直接由编译器生成,但却并没有想这句代码有没有更深的含义,包括我。直到今天敲代码敲到这句话的时候,突然就想研究一下这句代码,下面是我研究的一些笔记和成果。 在此之前,我们需要了解一下怎么用命令行编译执行我们的java程序 ...
C++反汇编与逆向分析技术揭秘》笔记-第3章认识启动函数,找到用户入口
qq_42692132的博客
07-18 969
C++反汇编揭秘
逆向程序分析:Windows的main(),启动函数分析
CodeBowl的博客
10-23 1203
@[TOC](Windows main() 启动函数分析) 实验环境 Windows10 Vs2015 x86程序 启动函数 C/C++的运行时启动函数,该函数负责对C/C++运行库进行初始化。 启动函数的作用: 检索指向新进程的命令行指针、检索指向新进程的环境变量指针、全局变量初始化、内存初始化等。 当所有的初始化操作完成之后,启动函数会调用应用程序的进入点函数。 调试实战 我们写一个简单的main函数,然后F5进入调试。 mainCRTStartup() 这个函数调用了__scrt_common_ma
函数栈帧的创建和销毁(详细)
qq_41420788的博客
08-10 729
函数栈帧的创建和销毁main函数被调用的过程:具体过程 main函数被调用的过程: mainCRTStartup() 调用 _tmainCRTStartup() 再调用 main() 寄存器: ebp(栈底指针),esp(栈顶指针)(sp 是esp的低16位,esp是rsp的低32位,ss是16位堆栈段寄存器) 了解更多:x86汇编学习历程7----从1加到100并显示(引入栈) 具体过程 C代码如下: #include <stdio.h> int Add(int x, int y)
装载、链接与库——main函数前世今生
修炼中的kongkong
06-21 968
*当执行”Hello World“程序时,是从main函数开始执行的吗?答案当然是No,No,No!* *终于写完了。。。经历了源码找不到、源码看不懂之后,最后还是搞定了。。(●ˇ∀ˇ●)*
浅谈嵌入式ARM开发的前世今生
08-30
在Bootloader设计中,需要实现一些硬件的初识和引导嵌入式进入Linux系统或者C语言Main函数。在嵌入式驱动开发中,需要了解Linux内核机制、Shell编程、Makefile规则、硬件数据手册和电路连接Linux驱动工作流程等。在...
一篇带你看完 Spring 的前世今生
帅枫的博客
12-10 279
1、Spring Spring:春天------> 给软件行业带来了春天! 2002,首次推出了Spring框架的雏形:interface21框架! Spring框架即以interface2框架为基础,经过重新设计,并不断丰富其内涵,于2004年3月24日,发布了1.0正式版。 Rod Johnson, Spring Framework创始人,著名作者。 Spring理念:使现有技术更加容易使用,本身是一个大杂烩,整合了现有的技术框架! SSH:Struct2 + Spring
error LNK2019: 无法解析的外部符号 main函数 “int __cdecl __scrt_common_main_seh(void)“ (?__scrt_common_main_seh
wang1zhong1quan的博客
08-29 2874
error LNK2019: 无法解析的外部符号 main函数 "int __cdecl __scrt_common_main_seh(void)" (?__scrt_common_main_seh@@YAHXZ) 中被引用
vc 环境全局变量赋值引发的访问异常和解决过程
02-26 1719
main()函数之前崩溃;VC全局变量引起的非法问题;引发了异常:读取访问权限冲突;出现了一个问题,导致程序停止正常工作。
浅析 main 之前代码 (VS2015)
huanongying131的博客
08-30 3739
用VS2015 如何追踪 main之前代码尼? #include #include void main() {  printf("%d\n", 1); } 在printf处设置断点,反汇编代码,在ret 设置断点,f5, 再f10单步。便能跳到 编译器插入的代码。  printf("%d\n", 1); 00CE1070  push        1
C语言——详解函数栈帧的创建和销毁
plj521的博客
06-27 1093
详解函数栈帧的创建和销毁(vs2022环境下)
C++反汇编与逆向分析》动态调试找到main函数
最新发布
weixin_70811025的博客
01-03 1087
我们在VS C++开发程序在调试时总是从main或WinMain函数开始,这就让我们很容易误认为它们是程序的第一条指令,但是事实并非如此。main或WinMain函数需要一个调用者,在它们被调用前,编译器其实已经做了很多事情,
main.c从编译到运行到底发生了什么
garbage_man的博客
09-24 825
链接器之所以能够解析不同文件中的函数、变量等信息,是因为程序源文件被编译的过程中,会在符号表中生成用于引用的符号。void foo();return 0;由于函数foo没有定义,直接调用foo如果在多个源文件中,定义了具有相同名字的符号,链接器该作如何选择呢?对于Linux不允许有相同的强符号,比如两个模块中都有main函数,此时会报错;如果有一个强符号和多个弱符号,选择强符号;如果有多个弱符号,任意选择一个;
C语言的入口函数
eli的博客
02-10 1958
起因 因为调试Rust,在main函数打了断点看了调用堆栈的信息.顺便看看C语言中在调用main函数之前的堆栈信息.这里主要以控制台程序为例. C语言中调用main函数的堆栈信息 先看一下调用的关系图: 在C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\VC\Tools\MSVC\14.24.28314\crt\src\vcruntime目录中,找到了exe_main.cpp文件, #de..
函数栈帧的调用
leaf_cold的博客
02-19 707
c 语言的构成就是函数 现在写一写心得和体会 在函数中毫无疑问 第一个函数无疑是创世之作 一般来说刚刚学习c语言的适合main 函数无疑是遇见的第一个函数那么就结合main 函数的初始化 以及如何用汇编调用main 函数写一篇心得 #include int main() { 010E1810 push ebp 010E1811 mov ebp,esp
C语言函数栈帧
未见花闻的博客
08-06 1468
内容导读1.寄存器2.函数栈帧2.1函数栈帧的概述2.2函数栈帧创建过程2.2.1被调用的main函数2.2.2函数栈帧创建与销毁的过程 前面的话: 作者水平很有限,如果发现错误,一定要及时告知作者哦!感谢感谢! 博主的码云gitee,平常博主写的程序代码都在里面。 1.寄存器 寄存器是中央处理器内的组成部分。寄存器是有限存贮容量的高速存贮部件,它们可用来暂存指令、数据和地址。在中央处理器的控制部件中,包含的寄存器有指令寄存器(IR)和程序计数器(PC)。在中央处理器的算术及逻辑部件中,寄存器有累加器
C++ main函数带参数详解
"C++中的main函数可以接受形参,通常形式为int main(int argc, char* argv[])。main函数是程序的入口点,由操作系统调用,其返回值表示程序执行状态。argc表示命令行参数的个数,argv是一个字符串数组,存储着命令行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dao-道法自然

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值