逆向之1PE文件通过逆向工具(IDA和OD)寻找main和winmain

最新推荐文章于 2024-09-02 21:15:00 发布
最新推荐文章于 2024-09-02 21:15:00 发布
阅读量2.7k 收藏 9
点赞数 3
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011785309/article/details/104991390
版权
这篇博客介绍了如何使用逆向工具IDA和OllyDbg(OD)在PE文件中定位winmain函数。作者首先解释了WinMain函数的定义和作用,然后详细阐述了在IDA中通过导出函数找到winmain的步骤,并分享了在OD中单步调试以识别winmain函数参数的方法。尽管在OD中遇到一些问题,但通过切换不同版本的OD解决了问题,成功识别了函数参数。
摘要由CSDN通过智能技术生成

这学期逆向这门课的第一个小组作业是:PE文件通过逆向工具(IDA和OD)寻找main和winmain。

完整的实验报告见组长的博客:
https://www.cnblogs.com/-mo-/p/12524691.html

因为我在小组分工里完成的是寻找winmain的过程(其实就是按照组长的博客复现了一遍、录了视频摆了),所以这里也只记录了关于winmain的一些知识点。

1.定义

WinMain是windows API窗体程序的入口函数,该函数的功能是被系统调用,作为一个32位应用程序的入口点。WinMain函数应初始化应用程序,显示主窗口,进入一个消息接收一发送循环,这个循环是应用程序执行的其余部分的顶级控制结构。

2.函数详解

WinMain是用于应用程序入口点的常规名称,他的句法如下:

int __clrcall WinMain(
  HINSTANCE hInstance,
  HINSTANCE hPrevInstance,
  LPSTR     lpCmdLine,
  int       nShowCmd
最低0.47元/天 解锁文章
ISNS
关注
专栏目录
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
反汇编 c++/c 确定main函数的位置
Catch me if you can
04-30 6030
根据启动函数确定winmain/main函数的入口地址
mainwinmain快速定位方法
qq_40353000的博客
12-11 287
main函数: 搜索__p___argc winmain: 搜索_get_wide_winmain_command_line
Ollydbg提示:xxxxxx可能不是一个 32 位 PE 文件,无论如何都尝试载入吗?
最新发布
XuanRan的博客
09-02 356
原标题:OD提示C:\Users\XuanRan\Desktop\xxxx.exe’可能不是一个个 32 位 PE 文件,无论如何都尝试载入吗?它的意思就是告诉你,OD现在只能用于32位软件。如果要调试64位程序,去使用x64dbg。
基础:如何用OD找到Hello World的main函数
weixin_44092491的博客
02-27 4566
首先从百度上下载一个Hello World的文件,如下图所示。当然,你也可以自己使用vc6.0或vc2012自己写一个Hello World的文件,至于怎么写我就不详细描述了,不会的可以自己百度,很简单的。 OD调试用到的一些基本指令 | 指令 | 快捷键 | 含义 | Restart | Ctrl+F2 | 重新开始调试 Step Into | F7 | 执行一句命令,若遇到CALL命令...
逆向工具IDA使用2-VS2015版本release查找main函数入口,局部变量
weixin_30897233的博客
03-27 675
VS2015版本release查找main函数入口 vc++开发的程序mainWinMain函数是语法规定的用户入口,而不是应用程序入口。入口代码是mainCRTstartup、wmainCRTStartup、WinMainCRTSartup或wWinMainCRTStarup,具体情况由编译器制定。 VS2015版本debug查找main函数在《VS程序反汇编找main函数》。rel...
代码逆向 寻找main函数入口.docx 有点汇编
04-19
逆向的第一步是什么?这要问你学习C语言的第一步是什么,很自然的,逆向的第一步当然也是大名鼎鼎“HelloWorld!”了。但是也不要因此就误认为这一节会很简单,如果你是第一次接触逆向的话,那么这一节还是有些难度的。 好的,让我们先写一个世界上最出名的程序: int _tmain(int argc, _TCHAR* argv[]) { printf("Hello World!\r\n"); return 0; }
[系统安全10]反汇编-函数调用约定、Main函数查找
17bdw的编程备份笔记
10-14 83
0x1 准备工作 1.1、准备工具 IDA:交互式反汇编工具 OllyDbg:用户层调试工具 Visual Studio:微软开发工具 1.2、基础知识 C++开发 汇编语言 0x2 查找真正的main()函数 入口点开始到Main()函数之间的代码都是编译器加进去用于初始化环境用的。 main()函数其实是有3个参数的,这取决于Windows系统的机制。 查找方法: 1、字符串...
《C++反汇编与逆向分析》动态调试找到main函数
weixin_70811025的博客
01-03 1110
我们在VS C++开发程序在调试时总是从mainWinMain函数开始,这就让我们很容易误认为它们是程序的第一条指令,但是事实并非如此。mainWinMain函数需要一个调用者,在它们被调用前,编译器其实已经做了很多事情,
CTF-逆向刷题记录
qq_51564026的博客
02-07 1249
Reverse
170924 逆向-Reversing.kr(EasyCrack、EasyKeygen、EasyUnpack)
whklhhhh的博客
09-24 1824
1625-5 王子昂 总结《2017年9月24日》 【连续第357天总结】 A. Reversing.kr-EasyCrack、EasyKeygen、EasyUnpack B. EasyCrack打开程序发现是一个简单的只有文本框和按钮的程序 随便输入后点击按钮,弹窗”incorrect password”先分析一波,发现无壳C++ 拖入OD,断在用户领空后查找刚才显示的字符串 很明
逆向-扫雷算法分析
Night May Say
05-06 5750
最近思来想去,眼看着自己就要进某厂游戏安全团队实习了,也不能整天的无所事事,所以就寻思着先找点最简单的游戏用来练练手。想到之前逆向过一些小游戏,就把之前分析的扫雷整理了一下啊,写了个外挂,发了上来。
代码逆向(一)——寻找main函数入口
蛛丝
08-12 1万+
<br />逆向的第一步是什么?这要问你学习C语言的第一步是什么,很自然的,逆向的第一步当然也是大名鼎鼎“HelloWorld!”了。但是也不要因此就误认为这一节会很简单,如果你是第一次接触逆向的话,那么这一节还是有些难度的。<br /><br />      好的,让我们先写一个世界上最出名的程序:<br /><br />int _tmain(int argc, _TCHAR* argv[])<br />{<br />    printf("Hello World!/r/n");<br />    ret
逆向工具IDA的使用
热门推荐
_Co1a
11-18 2万+
IDA的使用IDA打开文件IDA关闭文件IDA窗口介绍切换图形界面和文本结构界面显示硬编码——>ACDU指令A指令C指令D指令U指令跳转指令:G(go)搜索指令 ALT+TN指令创建结构体 ,修改全局变量,修改局部变量注释交叉引用 交互式反汇编器专业版(Interactive Disassembler Professional),人们常称其为IDA Pro,或简称为IDA。是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器!IDA Pro是一款交
逆向工程核心原理学习笔记(一):寻找程序的主函数(Main
killcoco的小窝
04-14 3953
首先编译release版本的helloword程序,代码如下: 编译完成,拖进OD,结果如图。 程序断在了004011A1 这个地址,这个就是EntryPoint. 这个地址调用了004022DF这个地址的函数,F7跟进函数,如图。 并没有什么有用的信息让我们查找Main函数,然后Ctrl+F9调到函数结尾,retn. 然后F8跳出,到达了
逆向分析工具——IDA初学笔记
m0_63606191的博客
01-22 3228
是 是
逆向·IDA的使用
不忘初心,护天下安全!
04-25 3084
一、IDA启动 打开后进入页面: New就是新反汇编一个文件,Go就是继续之前工作,Previous则是加载以前的反汇编任务。 进入后主界面: 菜单栏下有一条彩色块,用于对代码进行定位。其中:蓝色表示代码段、红色表示内核、棕色表示数据段、黑色为输出窗口。 左边Funtion windows显示了所有函数列表,双击后可查看详细信息,在右侧主要位置对代码逻辑进行呈现: 而在右侧主界面中,,可以显示IDA view-A、十六进制视图、结构体、枚举、输入、输出(在顶部切换即可)...
IDA-逆向分析-工具教程-IDA简介-反汇编工具-功能窗口
插件开发
10-23 1万+
介绍了IDA反汇编原理分为,线性扫描反汇编和递归下降反汇编。比较了两者的优点和缺点。线性扫描反汇编算法采用一种非常简单的方法来确定需要反汇编的指令的位置:一条指令结束、另一条指令开始的地方。因此,确定起始位置最为困难。常用的解决办法是,假设程序中标注为代码(通常由程序文件的头部指定)的节所包含的全部是机器语言指令。反汇编从一个代码段的第一个字节开始,以线性模式扫描整个代码段,逐条反汇编每条指令,直到完成整个代码段。线性扫描算法的主要优点,在于它能够完全覆盖程序的所有代码段。
ida
anderson1314的专栏
03-03 645
在学校的时候读到关于ida的书觉得ida真牛逼,做到智能化,今天分析app时,定位到函数,知道这么去修改,还差一个函数调用,明天再研究下那个函数怎么实现的,然后就可以修改数据了~
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值