各种开发语言的入口方法

最新推荐文章于 2022-10-11 21:12:14 发布
最新推荐文章于 2022-10-11 21:12:14 发布
阅读量553 收藏
点赞数
分类专栏: 汇编
原文链接:https://bbs.ichunqiu.com/thread-21637-2-2.html
版权

入口点不看地址看特征

1.Borland Delphi 6.0 - 7.0
  
PUSH EBP
  MOV EBP,ESP
  ADD ESP,-14
  PUSH EBX
  PUSH ESI
  PUSH EDI
  XOR EAX,EAX
  MOV DWORD PTR SS:[EBP-14],EAX
  MOV EAX,unpack.00509720
  CALL unpack.0040694C
  
2.Microsoft Visual C++ 6.0
  
PUSH EBP ; (初始 cpu 选择)
  MOV EBP,ESP
  PUSH -1
  PUSH Screensh.00563740
  PUSH Screensh.0049C78C ; SE 处理程序安装
  MOV EAX,DWORD PTR FS:[0]
  PUSH EAX
  MOV DWORD PTR FS:[0],ESP
  SUB ESP,58
  
3.Microsoft Visual C++ 6.0 [Overlay] E语言
  
PUSH EBP
  MOV EBP,ESP
  PUSH -1
  PUSH Nisy521.004062F0
  PUSH Nisy521.00404CA4 ; SE 处理程序安装
  MOV EAX,DWORD PTR FS:[0]
  PUSH EAX
  MOV DWORD PTR FS:[0],ESP
  
4.Microsoft Visual Basic 5.0 / 6.0
  
JMP DWORD PTR DS:[] ; MSVBVM60.ThunRTMain
  PUSH PACKME.00407C14
  CALL
  ADD BYTE PTR DS:[EAX],AL
  ADD BYTE PTR DS:[EAX],AL
  ADD BYTE PTR DS:[EAX],AL
  XOR BYTE PTR DS:[EAX],AL
  或省略第一行的JMP
  push dumped_.0040D4D0
  call
  add byte ptr ds:[eax],al
  add byte ptr ds:[eax],al
  add byte ptr ds:[eax],al
  xor byte ptr ds:[eax],al
  add byte ptr ds:[eax],al
  
5.BC++
  
JMP SHORT BCLOCK.0040164E
  ; CHAR 'f'
  ; CHAR 'b'
  ; CHAR ':'
  ; CHAR 'C'
  ; CHAR '+'
  ; CHAR '+'
  ; CHAR 'H'
  ; CHAR 'O'
  ; CHAR 'O'
  ; CHAR 'K'
  NOP
  00401649 |E9 DB E9
  DD OFFSET BCLOCK.___CPPdebugHook
  MOV EAX,DWORD PTR DS:[4EE08B]
  SHL EAX,2
  MOV DWORD PTR DS:[4EE08F],EAX
  PUSH EDX
  PUSH 0 ; /pModule = NULL
  CALL   ; \GetModuleHandleA
  MOV EDX,EAX
  
6.Dasm:
  
; /pModule = NULL
  CALL   ; \GetModuleHandleA
  MOV DWORD PTR DS:[40350C],EAX
  CALL   ; [GetCommandLineA
  MOV DWORD PTR DS:[403510],EAX
  PUSH 0A ; /Arg4 = 0000000A
  PUSH DWORD PTR DS:[403510] ; |Arg3 =  00000000
  PUSH 0 ; |Arg2 = 00000000
  PUSH DWORD PTR DS:[40350C] ; |Arg1 =  00000000
  
7.VC8 -> Microsoft Corporation
  
call QQRecord.00446C13                    ; (Initial CPU selection)
  jmp QQRecord.0043DD01
  push ebp
  mov ebp,esp
  push ecx
  push ebx
  mov eax,dword ptr ss:[ebp+C]
  add eax,0C
  mov dword ptr ss:[ebp-4],eax
  mov ebx,dword ptr fs:[0]
  mov eax,dword ptr ds:[ebx]
  mov dword ptr fs:[0],eax
  mov eax,dword ptr ss:[ebp+8]
  mov ebx,dword ptr ss:[ebp+C]
  mov ebp,dword ptr ss:[ebp-4]
  mov esp,dword ptr ds:[ebx-4]
  jmp eax
  pop ebx
  leave
  retn 8
  
8.PB
  
PUSH EBP
  MOV EBP, ESP
  PUSH EBX
  PUSH ESI
  PUSH EDI
  MOV EBX, 00416000
  TEST WORD PTR CS:[004113D2], 850F0004
  FILD DWORD PTR [EAX]
  ADD [EAX], AL
  PUSH 00000000
  CALL [00418454] ; CoInitialize
  CALL 0041100A
  MOV [EBX+00000108], 00000001
  LEA EAX, [EBX+00000290]
  PUSH EAX
  CALL [004183DC] ; GetVersionExA
  SUB ESP, 00000044
  MOV [ESP], 00000044
  MOV [ESP+2C], 00000000
  PUSH ESP
  CALL [004183D4] ; GetStartupInfoA
  MOV EAX, 0000000A
  TEST [ESP+2C], 00000001
  JZ 410DBC
  MOVZX EAX, WORD PTR [ESP+30]
  ADD ESP, 00000044
  MOV [EBX+000000FE], EAX
  CALL [004183B0] ; GetCommandLineA
  
9.Borland C++ 1999
  
jmp short VBto_UNP.004014E2
  bound di,dword ptr ds:[edx]
  inc ebx
  sub ebp,dword ptr ds:[ebx]
  dec eax
  dec edi
  dec edi
  dec ebx
  nop
  jmp 0097157A
  mov eax,dword ptr ds:[57008B]
  shl eax,2
  mov dword ptr ds:[57008F],eax
  push edx
  push 0
  call  <jmp.&kernel32.GetModuleHandleA>
  
10,Microsoft Visual C++ ver. 8.0
  
call SolidPDF.004A3F56
  jmp SolidPDF.004A38AF
  int3
  int3
  int3
  int3
  int3
  int3
  push ecx
  lea ecx,dword ptr ss:[esp+8]
  sub ecx,eax
  and ecx,0F
  add eax,ecx
  sbb ecx,ecx
  or eax,ecx
  pop ecx
  jmp SolidPDF.004A3810
  push ecx
  lea ecx,dword ptr ss:[esp+8]

shixueli
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向分析HyperSnap 7 专业版完成注册
1匹黑马
03-03 3367
文章目录免责声明用到的软件查壳查找关键字暂停法的妙用完成注册 免责声明 该教程仅用于技术交流,并无任何商业目的,您不得将下述内容用于商业或者非法用途,否则 后果自负,如果您喜欢该程序,请支持正版软件,购买注册 ,得到更好的正版服务,如有侵权请 邮件联系作者! 用到的软件 OD PEID HyperSnap 7 专业版 查壳 VC8 -> Microsoft Corporation *...
Borland Delphi v6.0
03-15
Borland Delphi v6.0,可做收藏、学习、研究。
有关脱壳以及脱壳实例讲解
zacklin的专栏
07-11 4673
当前流行的查壳工具主要以peid和fileinfo这两个软件为代表。 PEiD的原理是利用查特征串搜索来完成识别工作的。各种开发语言都有固定的启动代码部分,利用这点就可识别出何种语言编译的。同样,不同的壳也有其特征码,利用这点就可以识别是被何种壳所加密。PEiD提供了一个扩展接口文件userdb.txt ,用户可以自定义一些特征码,这样就可识别出新的文件类型。
几种程序的反汇编代码入口特征
keilsi的专栏
11-21 2954
<br /><br />一.Borland Delphi 6.0 - 7.0<br />004029BC > $  55                PUSH EBP<br />004029BD   .  8BEC              MOV EBP,ESP<br />004029BF   .  83C4 F0          ADD ESP,-10<br />004029C2   .  53                PUSH EBX<br />004029C3   .  B8
加壳工具简介
Hank's Techblog
10-15 3985
<br />1.程序编写语言: <br />常见的程序制作语言有:<br />Borland Delphi 6.0 - 7.0<br />Microsoft Visual C++ 6.0<br />Microsoft Visual Basic 5.0 / 6.0<br />还有汇编、易语言等。 很多软件都通过加壳保护来提高软件的破解难度,下面我们简单的介绍一下加壳工具。 <br />2.软件加壳工具介绍: <br />II 压缩壳介绍: <br />常见压缩壳有:ASPack、UPX、PeCompact、N
保存各种编程语言的各种方法合集
最新发布
04-07
这个名为"保存各种编程语言的各种方法合集"的资源可能是为了帮助程序员们更好地理解和实践多种编程语言中的代码存储与管理技术。下面,我们将深入探讨几种常见的编程语言以及它们在保存、版本控制和协作方面的最佳...
汇川机器人API二次开发
04-16
在汇川机器人的API中,包含了各种函数和方法,用于控制机器人的运动、编程、通信等功能。通过这些API,开发者可以实现对机器人动作的精确控制,如关节运动、直线运动、圆弧运动等。 接下来,我们将关注C#语言。C#是...
delphi语言开发
06-15
5. **实现语言切换**:在程序运行时,通过调用CnLangManager的方法,例如`SwitchLanguage()`,用户可以选择不同的语言,程序会即时更新所有的本地化字符串。 6. **处理繁简切换**:对于繁简中文的切换,CnPack可能...
java课程 java语言基础.pdf
03-18
Java语言可以用于开发各种应用程序,包括桌面应用程序、Web应用程序、移动应用程序等。 Java程序设计 Java程序设计是指使用Java语言编写的应用程序。Java程序可以分为两类:应用程序和小应用程序。应用程序是指...
go语言开发环境安装及第一个go程序(推荐)
09-18
Go语言,又称为Golang,是由Google开发的一种高效、简洁且强大的编程语言。它结合了静态类型、编译型和动态内存管理(垃圾回收)的特点,特别适合于构建大规模并发服务和分布式系统。 **1. Go语言开发环境安装** ...
borland delphi 7.0经典版本带汉化
06-25
borland delphi 7.0经典版本带汉化, 完整安装程序,带汉化和序列号
Borland Delphi v7.0企业版(最终版本)
04-10
Borland Delphi v7.0 企业版,可做收藏、学习、研究。
delphi 6.0安装文件
03-22
数据库开发最好工具,虽然现在是java的时代,但也不可少用,代价少呀
浅谈脱壳中的附加数据问题(overlay)
qq_51600802的博客
10-11 630
这篇文章我们将解决以下问题: 1.什么是overlay,怎么找到overlay? 2.为什么有些壳虽然有overlay但是却不用特别处理? 3.为什么有些壳只用粘贴overlay数据就ok了,而有些壳却要定位指针? 4.如何修复文件指针?
常见各种语言程序入口点代码
weixin_34256074的博客
07-29 347
Borland Delphi 6.0 - 7.000509CB0 &gt; $ 55 PUSH EBP00509CB1 . 8BEC MOV EBP,ESP00509CB3 . 83C4 EC ADD ESP,-1400509CB6 . 53 PUSH EBX00509CB7 . 56 PUSH ESI00509CB8 . 57 PUSH EDI00509CB9 . 33C0 XOR EAX,EA...
WinImage 8.10注册算法简单分析
qingye
10-20 1843
标 题: 【原创】WinImage 8.10注册算法简单分析作 者: herx时 间: 2007-10-15,18:47链 接: http://bbs.pediy.com/showthread.php?t=53348【文章标题】: WinImage 8.10注册算法分析【文章作者】: herx【作者邮箱】: h
5大文件头特征
dragon_horse的专栏
11-14 696
1、Borland Delphi 6.0 - 7.000509CB0 > $ 55 PUSH EBP00509CB1 . 8BEC MOV EBP,ESP00509CB3 . 83C4 EC ADD ESP,-1400509CB6 . 53 PUSH EBX00509CB7 . 56
[脱壳破解]脱壳小结
独步清风
11-23 3840
首先什么是壳 作者编好软件后,编译成exe可执行文件。 1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等,即为了保护软件不被破解,通常都是采用加壳来进行保护。 2.需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩。 3.在黑客界给木马等软件加壳以躲避杀毒软件。 壳的分类: 压缩壳和加密壳 如何分辨加密壳和压缩壳,通用特点,O

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值