常见入口点特征

最新推荐文章于 2021-03-21 10:26:27 发布
最新推荐文章于 2021-03-21 10:26:27 发布
阅读量764 收藏 2
点赞数

转载自https://blog.csdn.net/kkfd1002/article/details/79832269
转载自https://blog.csdn.net/x356982611/article/details/48370297
脱壳前如果知道壳的版本和编译程序的语言和编译器将事半功倍
特征1:VC链接器版本

VS版本链接器版本
VS201914.21
VS201714.12
VS201514.0, 14.1
VS201312.0
VS201211.0
VS201010.0
VS20089.0
VS20058.0
VC20037.0 7.1
VC5/BC++5.0
DelPhi2.5
VB54.20

特征2:OEP

a0) VB5:

【VB5】的OEP平衡堆栈是 sub esp,0x54

【VB5】的OEP第一个API调用是GetStartupInfoA

【VB5】程序的IAT引用,都是FF15型的

a1) VB6

【VB6】的OEP平衡堆栈是 sub esp,0x4C

【VB6】的OEP第一个API调用是GetStartupInfoA

【VB6】程序的IAT引用,都是FF15型的

// Microsoft Visual Basic 5.0 / 6.0
   FF25 6C104000   JMP DWORD PTR DS:[<&MSVBVM60.#100>]   //MSVBVM60.ThunRTMain
   68 147C4000     PUSH PACKME.00407C14
   E8 F0FFFFFF     CALL <JMP.&MSVBVM60.#100>
   0000            ADD BYTE PTR DS:[EAX],AL
   0000            ADD BYTE PTR DS:[EAX],AL
   0000            ADD BYTE PTR DS:[EAX],AL
   3000            XOR BYTE PTR DS:[EAX],AL
   //或省略第一行的JMP
   68 D0D44000        push dumped_.0040D4D0
   E8 EEFFFFFF        call <jmp.&msvbvm60.ThunRTMain>
   0000               add byte ptr ds:[eax],al
   0000               add byte ptr ds:[eax],al
   0000               add byte ptr ds:[eax],al
   3000               xor byte ptr ds:[eax],al
   0000               add byte ptr ds:[eax],al

b0) Delphi

【Delphi】OEP上面是一个地址
【Delphi】OEP处 有5个CALL
【Delphi】OEP 5个CALL之后,全是0
【Delphi】OEP处第一个CALL有GetModuleHandleA调用
【Delphi】的IAT调用是 FF25形式的

 	 55            PUSH EBP
     8BEC          MOV EBP,ESP
     83C4 EC       ADD ESP,-14
     53            PUSH EBX
     56            PUSH ESI
     57            PUSH EDI
     33C0          XOR EAX,EAX
     8945 EC       MOV DWORD PTR SS:[EBP-14],EAX
     B8 20975000   MOV EAX,unpack.00509720
     E8 84CCEFFF   CALL unpack.0040694C

b1) BC++

【BC++】 二进制特征:EB1066623A432B2B484F4F4B90
【BC++】 OEP的第一个API调用是 GetModuleHandleA
【BC++】 IAT调用是 FF25形式的

EB 10         JMP SHORT BCLOCK.0040164E
66            DB 66                                    ;  CHAR 'f'
62            DB 62                                    ;  CHAR 'b'
3A            DB 3A                                    ;  CHAR ':'
43            DB 43                                    ;  CHAR 'C'
2B            DB 2B                                    ;  CHAR '+'
2B            DB 2B                                    ;  CHAR '+'
48            DB 48                                    ;  CHAR 'H'
4F            DB 4F                                    ;  CHAR 'O'
4F            DB 4F                                    ;  CHAR 'O'
4B            DB 4B                                    ;  CHAR 'K'
90            NOP
E9            DB E9
			  DD OFFSET BCLOCK.___CPPdebugHook
A1 8BE04E00   MOV EAX,DWORD PTR DS:[4EE08B]
C1E0 02       SHL EAX,2
A3 8FE04E00   MOV DWORD PTR DS:[4EE08F],EAX
52            PUSH EDX
6A 00         PUSH 0                                   ; /pModule = NULL
E8 DFBC0E00   CALL <JMP.&KERNEL32.GetModuleHandleA>    ; \GetModuleHandleA
8BD0          MOV EDX,EAX

c) VC6/E语言(通过分析,发现二者特征一致,可以判定E语言和VC6如出一辙)

【VC6】的OEP平衡堆栈是 sub esp,0x58 或 sub esp,0x68或add esp, -0x5C
【VC6】的OEP第一个API调用是GetVersion
【VC6】程序的IAT引用,都是FF15型的

//入口点特征代码
55            PUSH EBP                 ;  (初始 cpu 选择)
8BEC          MOV EBP,ESP
6A FF         PUSH -1
68 ????????   PUSH Screensh.00563740
68 ????????   PUSH Screensh.0049C78C   ;  SE 处理程序安装
64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
50            PUSH EAX
64:8925 00000>MOV DWORD PTR FS:[0],ESP
83EC 58       SUB ESP,58

d) VS2013

【VS2013】开始处,call xxx; jmp xxx;
【VS2013】的OEP平衡堆栈是sub esp, 0x44
【VS2013】的OEP第一个API调用是GetStartupInfoW
【VS2013】Release第一个API调用GetSystemTimeAsFileTime
【VS2013】程序的IAT引用,都是FF15型的

e)Dasm

6A 00         PUSH 0                                   ; /pModule = NULL
E8 C50A0000   CALL <JMP.&KERNEL32.GetModuleHandleA>    ; \GetModuleHandleA
A3 0C354000   MOV DWORD PTR DS:[40350C],EAX
E8 B50A0000   CALL <JMP.&KERNEL32.GetCommandLineA>     ; [GetCommandLineA
A3 10354000   MOV DWORD PTR DS:[403510],EAX
6A 0A         PUSH 0A                                  ; /Arg4 = 0000000A
FF35 10354000 PUSH DWORD PTR DS:[403510]               ; |Arg3 = 00000000
6A 00         PUSH 0                                   ; |Arg2 = 00000000
FF35 0C354000 PUSH DWORD PTR DS:[40350C]               ; |Arg1 = 00000000
初识逆向
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
常见程序入口特征
AlexSmoker的博客
02-22 2259
#Delphi入口程序 Delphi开头的入口程序是正常的压栈,然后调用一个E8字节类型的call 0044CA98 > $ 55 push ebp 0044CA99 . 8BEC mov ebp,esp 0044CA9B . 83C4 F0 add esp,-0x10 0044CA9E . B8 B8C84400 mov eax,delphi7?0044C8B8 ; UNICODE “;...
各种语言入口特征笔记
weixin_30375247的博客
09-29 408
认识各语言的入口特征及加壳后的识别判断,及加密与压缩壳识别 C++ 00408027 >/$ 55 push ebp 00408028 |. 8BEC mov ebp,esp 0040802A |. 6A FF push -0x1 0040802C |. 68 F0F14000 ...
常见编程语言入口特征
weixin_30783913的博客
09-17 172
Borland Delphi 6.0 - 7.000509CB0 > $ 55 PUSH EBP 00509CB1 . 8BEC MOV EBP,ESP 00509CB3 . 83C4 EC ADD ESP,-1400509CB6 . 53 PUSH EBX 00509CB7 . 56 PUSH ESI 00509CB8 . 57 PUSH EDI 00509CB9 . 33C0 XOR E...
VC++ 入口特征
blrk
09-16 870
*********** Stolen Code push ebp mov ebp,esp push -1 push 49A4A8 push 4363B8 mov eax,dword ptr fs:[0] push eax mov dword ptr fs:[0],esp sub esp,58 push ebx push esi push edi           m
常见程序入口(OEP)特征
要不,单步调试走起?
11-12 3559
转自:http://www.21arm.com/forum.php?mod=viewthread&tid=691&extra=page%3D1 ============================我是转载的分割线=================================== delphi:   55            PUSH EBP   8BEC
免杀初阶Ch.2 无特征码免杀之修改程序入口
04-27
本章节“免杀初阶Ch.2 无特征码免杀之修改程序入口”将探讨如何通过改变程序的入口来实现这一目标。免杀的主要目的是使恶意代码在不触发反病毒软件警报的情况下运行,从而提高其生存能力。 免杀技术分为多个...
fluent udf_fluent_fluent入口_
10-03
通常,流体入口的流速分布受到边界层的影响,呈现出对数分布特征,这在许多实际工程问题中十分常见,如管道流动、水槽流动等。 在给定的压缩包文件中,我们可以看到三个以`.c`为后缀的文件,分别是`10_8_3D_pile.c`...
Programming作业_模式识别作业_特征提取_
09-30
2. **主函数mainFunc.m**:这是整个程序的入口,通常负责调用其他函数,组织流程,如读取数据、执行特征提取、训练模型和评估结果。代码可能涉及到数据预处理、模型选择、参数调整等环节。 3. **最小二乘法...
图像特征提取识别程序
01-07
常见特征提取方法包括边缘检测(如Canny算子、Sobel算子)、角检测(如Harris角检测、Shi-Tomasi角检测)、纹理分析(如Gabor滤波器、LBP(Local Binary Patterns))以及色彩特征等。在这个项目中,我们可能...
sitt图像特征检测与匹配
06-18
此外,`procv`这个文件可能是项目源代码的主入口或者配置文件,包含了具体实现SIFT特征检测与匹配的函数和流程。 通过本项目,你可以深入理解SIFT算法的原理和实现过程,同时掌握如何在C语言和OpenCV库中进行图像...
5种常用程序入口特征
09-15
5种常用程序入口特征 C++ (Microsoft Visual C++ 6.0) Delphi (Borland Delphi 6.0 - 7.0) VB (Microsoft Visual Basic 5.0 / 6.0) BC++ (Borland C++ 1999) E语音 这个和C极度像,要分清 Dasm:汇编
程序如何执行和程序入口
so__sunshine的博客
03-22 5143
[摘要] 我们的程序进入到入口函数之前,是发生了很多事情的。操作系统的安排,启动运行时库,运行时库再初始化好环境,然后启动你的入口函数,你的程序才正常的运行起来。等你的程序运行结束后,就退回到运行时库,然后再退回到操作系统,然后系统再调度其他程序执行。     在系统把使用权交给我们的这个过程,就是系统安排我们程序运行的过程,也就是准备进入我们程序的入口函数main或者WinMain的过程。
各语言的入口特征。。
独步清风
12-03 3894
C++入口特征 00408027 >/$ 55             push ebp 00408028  |.  8BEC          mov ebp,esp 0040802A  |.  6A FF         push -0x1 0040802C  |.  68 F0F14000   push C++.0040F1F0 00408031  |.  68 84AF400
关于微软的Linker
yfditsmgk9的专栏
04-08 862
最近在做个OA办公系统,之前都没有做过客户端,现在得坐个精灵,最后发现客户安装的时候都需要.net3.5框架,所以浪费了很长时间把框架转为2.0。可是安装包有40多M,经过网上的搜索找到微软的linker这款软件,感觉不错,将.net继承在虚拟机里面。客户端无需安装便能使用。
linker源码解析,脱壳,在分析过程中产生的反调试思路
蔚蓝深处
08-22 4248
前言 linker是Android系统动态库so的加载器和链接器,也是Android脱壳一重要脱壳,这里介绍一下此部分的Android源码,并介绍几个脱壳,及分析过程中产生的反调试手段,学习Linker的加载和启动原理,又需要介绍so的加载和启动。
QQ连连看逆向分析
datouyu0824的博客
03-21 1055
1.样本概况 1.1 应用程序信息 ---------------------- 应用程序名称:QQ连连看 MD5值:05C759844703E7D4822DDE966284ABAB SHA1值:48C1D825C230196BD962AC294FA1990B6D41AD7F 简单功能介绍: 1. 游戏模式:击练习开始 2. 规则:选中两个相同的图案,直接的连线转弯不超过2次就可以消除 3. 道具:指南针可以自动消去两个可以消除的相同图案,初始有三个 ...
脱壳练习之未知壳(04)
weixin_45574485的博客
08-29 528
1.第一步,查壳,无法识别出编译语言和linker是什么 2.将文件用od打开,可以看到pushad和pushfd,f8两步之后对esp下硬件断。 3.f9执行到刚下的断,f8继续,会看到popad,继续f8,到下一个jmp,f8进入jmp,发现下一条指令是jmp eax,f8继续跟,这时,出现的界面是否觉得很熟悉,没错,这里就是oep,记住这个oep的地址:47148B。 4.看到...
壳的介绍以及脱壳常用思路【收藏】
晏斐的Blog
09-10 1599
一、概论壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳和加密壳两种UPX ASPCAK TELOCK PELITE NSPACK ...ARMADILLO ASPROTECT ACPROTECT EPE SVKP ...顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,加密壳是程序输入表等等进行加密保护。当然加密壳的保护能力要强得多!二、常见脱壳方法  预备知识1.P
VC++深入学习1
林一鸣的专栏
01-22 624
windows下利用VC6的应用程序编写, 再利用MSDN,写出一个窗口。 首先明确一个过程  :  1.用户发出需求(例如按下键盘某个键) 2.操作系统感知到I/O设备,将用户需求包装成一个消息,投递(post,记单词,很有用)到消息队列中 3.应用程序从自己的消息队列中取走消息,并对它作出响应(既然是队列,肯定满足FIFO) 4.程序响应后,通知操作系统,操作系统根据程
java基础.pdf
最新发布
07-21
"此资源是关于Java编程基础知识的文档,涵盖了多方面的知识,包括源文件的类定义规则、关键字使用、运算符理解、循环控制、数据类型处理、内存模型、类和对象的特性、方法重载与覆盖、接口与抽象类的关系、多态...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值