各语言的入口特征。。

最新推荐文章于 2023-01-31 21:34:15 发布
最新推荐文章于 2023-01-31 21:34:15 发布
阅读量3.8k 收藏 3
点赞数 1
分类专栏: 加密解密 文章标签: delphi 汇编 破解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dubuqingfenggzy/article/details/17095605
版权
C++入口特征

00408027 >/$ 55             push ebp
00408028  |.  8BEC          mov ebp,esp
0040802A  |.  6A FF         push -0x1
0040802C  |.  68 F0F14000   push C++.0040F1F0
00408031  |.  68 84AF4000   push C++.0040AF84                        ;  SE 处理程序安装
00408036  |.  64:A1 00000000 mov eax,dword ptr fs:[0]
0040803C  |.  50            push eax
0040803D  |.  64:8925 000000>mov dword ptr fs:[0],esp
00408044  |.  83EC 58       sub esp,0x58
00408047  |.  53            push ebx
00408048  |.  56            push esi
00408049  |.  57            push edi                                ;  ntdll.7C930228
0040804A  |.  8965 E8       mov [local.6],esp
0040804D  |.  FF15 E4F04000 call dword ptr ds:[<&KERNEL32.GetVersion>;  kernel32.GetVersion
00408053  |.  33D2          xor edx,edx                             ;  ntdll.KiFastSystemCallRet
00408055  |.  8AD4          mov dl,ah
00408057  |.  8915 D06B4100 mov dword ptr ds:[0x416BD0],edx         ;  ntdll.KiFastSystemCallRet
0040805D  |.  8BC8          mov ecx,eax
0040805F  |.  81E1 FF000000 and ecx,0xFF
00408065  |.  890D CC6B4100 mov dword ptr ds:[0x416BCC],ecx
0040806B  |.  C1E1 08       shl ecx,0x8
C++的入口函数GetVersion
C++的字符串采用ASCII码查找
C++ 的按钮事件采用查找SUB EAX,0A


汇编的入口
0040285E >/$ 6A 00          push 0x0                                 ; /pModule =NULL
00402860  |.  E8 970B0000   call <jmp.&kernel32.GetModuleHandleA>    ; \GetModuleHandleA
00402865  |.  A3 28544000   mov dword ptr ds:[0x405428],eax
0040286A  |.  E8 F50C0000   call <jmp.&comctl32.InitCommonControls>  ; [InitCommonControls
0040286F  |.  68 9D334000   push 汇编.0040339D                         ; /pTopLevelFilter = 汇编.0040339D
00402874  |.  E8 F50B0000   call <jmp.&kernel32.SetUnhandledExceptio>; \SetUnhandledExceptionFilter
00402879  |.  6A 00         push 0x0                                ; /lParam = NULL
0040287B  |.  68 96284000   push 汇编.00402896                         ; |DlgProc = 汇编.00402896
00402880  |.  6A 00         push 0x0                                 ; |hOwner = NULL
00402882  |.  6A 65         push 0x65                               ; |pTemplate = 65
00402884  |.  FF35 28544000 push dword ptr ds:[0x405428]            ; |hInst = NULL
0040288A  |.  E8 4B0C0000   call <jmp.&user32.DialogBoxParamA>       ; \DialogBoxParamA
0040288F  |.  6A 00         push 0x0                                ; /ExitCode = 0
00402891  \.  E8 480B0000   call <jmp.&kernel32.ExitProcess>         ; \ExitProcess
汇编的入口API函数   GetModuleHandleA
汇编查找字符串使用  ASCII码

易语言入口特征
004464D1 >/$ 55            push ebp
004464D2  |.  8BEC         mov ebp,esp
004464D4  |.  6A FF        push -0x1
004464D6  |.  68 B0C14600  push 易语言.0046C1B0
004464DB  |.  68 DCAC4400  push 易语言.0044ACDC                        ;  SE 处理程序安装
004464E0  |.  64:A1 0000000>mov eax,dword ptr fs:[0]
004464E6  |.  50           push eax
004464E7  |.  64:8925 00000>mov dword ptr fs:[0],esp
004464EE  |.  83EC 58      sub esp,0x58
004464F1  |.  53           push ebx
004464F2  |.  56           push esi
004464F3  |.  57           push edi                                ;  ntdll.7C930228
004464F4  |.  8965 E8      mov [local.6],esp
004464F7  |.  FF15 98514600 call dword ptrds:[<&KERNEL32.GetVersion>; kernel32.GetVersion
004464FD  |.  33D2         xor edx,edx                             ;  ntdll.KiFastSystemCallRet
易语言入口API函数 GetVersion

VC8 入口特征
00403A30 > $ E8 6E270000   call VC8.004061A3
00403A35   .^ E979FEFFFF   jmp VC8.004038B3
00403A3A  /$  55           push ebp
00403A3B  |.  8BEC         mov ebp,esp
00403A3D  |.  83EC 08      sub esp,0x8
00403A40  |.  897D FC      mov [local.1],edi                       ;  ntdll.7C930228
00403A43  |.  8975 F8      mov [local.2],esi
00403A46  |.  8B75 0C      mov esi,[arg.2]
00403A49  |.  8B7D 08      mov edi,[arg.1]                         ;  VC8.<ModuleEntryPoint>
00403A4C  |.  8B4D 10      mov ecx,[arg.3]
00403A4F  |.  C1E9 07      shr ecx,0x7
VC8入口特征查找 GetStartupInfoW
VC8查找字符串采用 Unicode码
VC8 的按钮事件采用查找SUB EAX,0A

VB入口特征
00401978   .- FF2518114000 jmp dword ptr ds:[<&MSVBVM60.#613>]      ; msvbvm60.rtcVarStrFromVar
0040197E   .- FF2584104000 jmp dword ptr ds:[<&MSVBVM60.__vbaVarTst>;  msvbvm60.__vbaVarTstEq
00401984   .- FF257C104000 jmp dword ptr ds:[<&MSVBVM60.#528>]      ; msvbvm60.rtcUpperCaseVar
0040198A   .- FF25A8104000 jmp dword ptr ds:[<&MSVBVM60.EVENT_SINK_>;  msvbvm60.EVENT_SINK_QueryInterface
00401990   .- FF2578104000 jmp dword ptr ds:[<&MSVBVM60.EVENT_SINK_>;  msvbvm60.EVENT_SINK_AddRef
00401996   .- FF259C104000 jmp dword ptr ds:[<&MSVBVM60.EVENT_SINK_>;  msvbvm60.EVENT_SINK_Release
0040199C   $- FF2508114000 jmp dword ptr ds:[<&MSVBVM60.#100>]      ; msvbvm60.ThunRTMain
004019A2     00            db 00
004019A3     00            db 00
004019A4 > $ 68 5C284000   pushVB.0040285C                        ;  ASCII "VB5!6&vb6chs.dll"
004019A9   .  E8 EEFFFFFF  call <jmp.&MSVBVM60.#100>
004019AE   .  0000         add byte ptr ds:[eax],al
004019B0   .  0000         add byte ptr ds:[eax],al
004019B2   .  0000         add byte ptr ds:[eax],al
004019B4   .  3000         xor byte ptr ds:[eax],al
004019B6   .  0000         add byte ptr ds:[eax],al
VB入口特征查找函数 ThunRTMain
VB 查找字符串时采用二进制字符串816C2404??000000

DELPHI 入口


0045D408 > $ 55             push ebp
0045D409   .  8BEC          mov ebp,esp
0045D40B   .  83C4 F0       add esp,-0x10
0045D40E   .  B8 28D24500   mov eax,DELPHI.0045D228
0045D413   .  E8 6088FAFF   call DELPHI.00405C78
0045D418   .  A1 4CF14500   mov eax,dword ptr ds:[0x45F14C]
0045D41D   .  8B00          mov eax,dword ptr ds:[eax]
0045D41F   .  E8 08DFFFFF   call DELPHI.0045B32C
0045D424   .  8B0D 40F24500 mov ecx,dword ptr ds:[0x45F240]         ;  DELPHI.00460C04
0045D42A   .  A1 4CF14500   mov eax,dword ptr ds:[0x45F14C]
0045D42F   .  8B00          mov eax,dword ptr ds:[eax]
0045D431   .  8B15 CCC84500 mov edx,dword ptr ds:[0x45C8CC]         ;  DELPHI.0045C918
0045D437   .  E8 08DFFFFF   call DELPHI.0045B344
0045D43C   .  A1 4CF14500   mov eax,dword ptr ds:[0x45F14C]
0045D441   .  8B00          mov eax,dword ptr ds:[eax]
0045D443   .  E8 7CDFFFFF   call DELPHI.0045B3C4
0045D448   .  E8 2769FAFF   call DELPHI.00403D74
0045D44D   .  8D40 00       lea eax,dword ptr ds:[eax]
DELPHI入口特征 GetModuleHandleA
DELPHI查找按钮事件 OD载入后,CTRL+G,转到00401000处然后就CTRL+B,查找特征码740E8BD38B83???FF93???
魔翼使者
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于URL类型优先级的入口页面查询算法 (2006年)
05-11
依据语言模型分析,挖掘出对中文入口页面(entry page)检索有意义的查询域作为基准检索的内容域,同时考虑到非内容网页优先级(URL-type等)特征的重要性,建立综合内容域和非内容网页特征的检索模型。通过URL类型...
菜鸟笔记#1.暴力破解简单程序
skysys的研究小屋
02-08 765
输入任意数值,单击登陆 记录关键字 经过查壳后发现无壳 将login.exe载入OllyDBG程序,单击运行按钮(或快捷键F9) 单击反汇编窗口,按Ctrl+G快捷键,在弹出的对话框中输入“00401000”,单击“确定”按钮。然后右键菜单选择“中文搜索引擎”->”智能搜索”。 在弹出字符串界面,按快捷键CTRL+F,打开搜索对话框,在对话框中搜索关键字“False”,然后单击“确定”
解密系列[基础篇]
weixin_72981769的博客
01-31 276
编写不易😋含有诸多问题 请多多指教🌟多字节存储顺序两种编码区别:Big-Endian:高位字节存入低地址,低位字节存入高地址,依次排列。:低位字节存入低地址,高位字节存入高地址,反序排列 多字节数据存放顺序与CPU有关。微处理器中存放顺序有正序( Big-Endian)和逆序(Little-Endian) (也称大端存储和小端存储)之分。常见的Intel系列使用的编码方式属于Little-Endian类;
32位通用寄存器ESP、EIP、EAX、EBX、ECX、EDX,在OD里操作这些寄存器
qq_41683305的博客
02-01 1483
32位x86储存器的通用寄存器共有8个,分别为:EAX、EBX、ECX、EDX、EBP、ESP、ESI、EDI EAX 寄存器的低 16 位在使用时可以用 AX 表示: 一些寄存器的组成部分可以处理 8 位的值。例如,AX 寄存器的高 8 位被称为 AH,而低 8 位被称为 AL。同样的重叠关系也存在于 EAX、EBX、ECX 和 EDX 寄存器中: 其他通用寄存器只能用 32 位或 16 ...
OD 快捷键使用大全。非常详细( 游戏逆向分析必看 )+ OD 断点 使用大全
freeking101的博客
09-30 1万+
From:https://www.cnblogs.com/YiShen/p/9742872.html OllyDBG快捷键 OllyDbg 窗口通用快捷键 快捷键     功能       Ctrl + F2 重启程序,即重新启动被调试程序(重新载入程序 )。如果当前没有调试的程序,OllyDbg会运行历史列表[historylist]中的第一个程...
各个语言入口特征和区段特征
c1561322601的博客
07-21 1980
判断程序是使用什么语言写的:主要查看区段和入口特征 VC6入口特征 几个api基本不变 区段特征 四个区段 .text 代码段  .rdata 导入表 .data 数据段 .rsrc 资源段 VS2008/2013入口特征 第一个call进去 ,几个固定的api 区段特征 五个区段 .text 代码段  .rd
ChatGPT会取代Google,成为互联网的第一入口.pdf
04-05
该论文介绍了 Transformer 架构,该架构后续成为了包括 OpenAI 的 GPT-4 在内的大型语言模型之核心。 正如 Chroma 联合创始人 Anton Troynikov 此前解释的那样,Transformer 通过集中注意输入的正确部分,便可以完成...
jqjs:jq JSON查询语言的纯JavaScript实现
05-12
特征jqjs支持大多数核心jq语言功能,但缺少功能和某些高级功能。 它还使用JavaScript字符串作为后盾,因此没有jq normal的Unicode支持。 身份: . 对象标识符索引: .foo , .foo.bar 通用对象索引: .[] 数组索引:...
flutter-internationalize:VSCode扩展名,用于处理颤动的语言环境文件
05-01
颤抖的国际化将帮助您创建json语言环境文件特征更好的本地化编辑器。 对文本进行分组以更轻松地管理文本迁移到零安全如果要生成空的安全Dart代码,则必须使用此扩展的> = 0.2.0版本。 此扩展程序的较旧版本将生成...
二抽取代码MATLAB-language_script_identification_from_images:给定某种语言文字的图像,是否可以
05-26
项目的入口点是manager.m文件。 数据集 数据集存储在finalDataset文件夹中。 文件createDataset> generateMatFile.m在dataMatlabFormat文件夹中生成.mat文件。 该文件生成整个数据集。 filterDataset.m文件修剪数据...
5种常用程序入口特征
09-15
5种常用程序入口特征 C++ (Microsoft Visual C++ 6.0) Delphi (Borland Delphi 6.0 - 7.0) VB (Microsoft Visual Basic 5.0 / 6.0) BC++ (Borland C++ 1999) E语音 这个和C极度像,要分清 Dasm:汇编
汇编语言入口特征
08-10
语言汇编入口特征码 试用与反汇编破解 伪脱壳
常见语言汇编入口代码
阿特图
04-01 6631
//原文来自小生我怕怕破解视频      认识各语言入口特征及加壳后的识别判断,及加密与压缩壳识别 C++ 00408027 >/$  55             push ebp 00408028  |.  8BEC           mov ebp,esp 0040802A  |.  6A FF          push -0x1 0040802C  |.  68
关于com接口调用的反汇编
dasgk的专栏
07-03 1243
只是为了测试,现在只写一个接口的自定义的两个函数 这是接口的定义 [ object, uuid(C320028D-2E57-46FD-8D80-F24315B58543), dual, nonextensible, pointer_default(unique) ] interface IDiction : IDispatch{ HRESULT justTest(); HRES
repne scasb详解
热门推荐
kunlong0909的专栏
03-28 1万+
SCAS是在检索目标字符串;REPNE/REPNZ是重复前缀(CX   ax/al   搜索数据     es:di   目标串     cx         串长度     df         方向标志 利用 REPNE SCAS 来检测代码中是否被下int3断点(CC):   00401241  /$  8D3D 00104000 LEA EDI,DWORD PTR DS:
逆向:初识脱壳
yan_star的博客
11-24 1729
逆向:初识脱壳
【VS开发】关于SEH的简单总结
ZhangPY的专栏
05-21 3904
尽管以前写过一篇SEH相关的文章《关于SEH的简单总结》, 但那真的只是皮毛,一直对Windows异常处理的原理似懂非懂, 看了下面的文章 ,一切都豁然开朗.  1997年文章,Windows技术的根一直没变:http://www.microsoft.com/msj/0197/exception/exception.aspx Matt Pietrek 著   董岩 译
CG语言入口函数
最新发布
05-31
CG语言入口函数是main函数,其声明方式为: ``` void main(void) { // 程序代码 } ``` 在main函数中,我们可以编写CG程序的主要逻辑,包括变量声明、函数调用、循环结构、条件判断等等。需要注意的是,CG语言的main函数没有参数传递。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值