主函数是c语言的入口,代码逆向(一)——寻找main函数入口

最新推荐文章于 2022-06-01 00:00:30 发布
最新推荐文章于 2022-06-01 00:00:30 发布
阅读量522 收藏
点赞数
文章标签: 主函数是c语言的入口

该楼层疑似违规已被系统折叠 隐藏此楼查看此楼

004113A0 PUSH EBP ; 函数入口

004113A1 MOV EBP, ESP

004113A3 SUB ESP, 0C0

004113A9 PUSH EBX

004113AA PUSH ESI

004113AB PUSH EDI

004113AC LEA EDI, DWORD PTR SS:[EBP-C0]

004113B2 MOV ECX, 30

004113B7 MOV EAX, CCCCCCCC

004113BC REP STOSD

004113BE MOV ESI, ESP

004113C0 PUSH Test_0.0041573C ; /Hello World!/r/n

004113C5 CALL DWORD PTR DS:[] ; /printf

004113CB ADD ESP, 4

004113CE CMP ESI, ESP

004113D0 CALL Test_0.00411145

004113D5 XOR EAX, EAX

004113D7 POP EDI

004113D8 POP ESI

004113D9 POP EBX

004113DA ADD ESP, 0C0

004113E0 CMP EBP, ESP

004113E2 CALL Test_0.00411145

004113E7 MOV ESP, EBP

004113E9 POP EBP

004113EA RETN

我们单击选择函数入口后,可以看到CPU窗格下面的信息窗格中显示如下信息:

跳转来自 0041100F

我们单击选择此信息后,点击鼠标右键,并选择【转到 JMP 来自0041100F】后即可来到上层调用函数(以后我们将之称为“返回到调用”):

0041100A JMP

0041100F JMP Test_0.004113A0 ; 我们停到这里

00411014 JMP Test_0.004124E0

遇到这种情况直接在返回到调用,此时来到真正调用main函数的地方:

0041195F MOV EAX, DWORD PTR DS:[417148]

00411964 PUSH EAX

00411965 MOV ECX, DWORD PTR DS:[41714C]

0041196B PUSH ECX

0041196C MOV EDX, DWORD PTR DS:[417144]

00411972 PUSH EDX

00411973 CALL Test_0.0041100F ; 我们停到这里

00411978 ADD ESP, 0C

0041197B MOV DWORD PTR DS:[41715C], EAX

00411980 CMP DWORD PTR DS:[417150], 0

00411987 JNZ SHORT Test_0.00411995

00411989 MOV EAX, DWORD PTR DS:[41715C]

0041198E PUSH EAX ; /status => 0

0041198F CALL DWORD PTR DS:[] ; /exit

通过上面的代码我们便看到了main函数的典型特征,临近exit,且有三个参数。接下来我们要做的就是不断地重复上面的步骤,一直到找到程序入口点为止。

最后你要做的就是针对不同的版本不同城上的编译器重复上面的步骤,直到收集到你认为足够丰富的信息后结束,从此你就再也不用怕为找不到main函数而苦恼了。

1.1.2、栈回溯法

栈回溯的方法是先找到main函数中的那个“HelloWorld”,下断点并按【F9】键运行后查看堆栈情况,我这里的堆栈情况如下:

0012FE9C 7C930208 ntdll.7C930208 ; 我们停在这里

0012FEA0 FFFFFFFF

0012FEA4 7FFDE000

0012FEA8 CCCCCCCC

…… ……

0012FF64 CCCCCCCC

0012FF68 /0012FFB8

0012FF6C |00411978 返回到 Test_0.00411978 来自 Test_0.0041100F

0012FF70 |00000001

0012FF74 |003D2C60

0012FF78 |003D2D40

0012FF7C |0A641DBC

0012FF80 |7C930208 ntdll.7C930208

0012FF84 |FFFFFFFF

0012FF88 |7FFDE000

0012FF8C |00369E99

0012FF90 |00000000

0012FF94 |00000000

0012FF98 |00130000 ASCII "Actx "

0012FF9C |00000000

0012FFA0 |0012FF7C

0012FFA4 |00000020

0012FFA8 |0012FFE0 指向下一个 SEH 记录的指针

荒川与野
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python主函数入口_Python __name__=='__main__'用法详解
weixin_39629093的博客
11-24 1737
如果对常见编程语言有所了解,就会知道,对于 C 和 C++ 而言,不论代码有多少行,它们都有一个相同的程序执行入口—— main 函数,而不论 main 函数处于整体代码的头部还是尾部,也不管它在众多源代码文件中的哪一个里,都有一种“纵有代码千万行,唯我独尊最先行”的感觉。类似地,Java 和 C# 中会有一个包含 main 方法的主类,作为程序入口。然而,Python 有所不同,它属于脚本语言,...
入口函数main、WinMain
01-24
入口函数main、WinMain) 在C/C++中,我们知道有一个如下格式的函数: int main(int argc, _TCHAR* argv[]) { return 0; } 该函数是C/C++中的入口函数,而在WindowsAPI中也有自己的入口函数,该函数的格式为: int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, int nCmdShow) { return 0; }
[逆向基础] 找到程序真正的入口
weixin_34383618的博客
07-02 669
2019独角兽企业重金招聘Python工程师标准>>> ...
c语言如何隐藏main入口,代码逆向(一)——寻找main函数入口
weixin_36310376的博客
05-20 265
该楼层疑似违规已被系统折叠隐藏此楼查看此楼004113A0 PUSH EBP ; 函数入口004113A1 MOV EBP, ESP004113A3 SUB ESP, 0C0004113A9 PUSH EBX004113AA PUSH ESI004113AB PUSH EDI004113AC LEA ED...
LCC编译器的源程序分析(45)函数代码入口和出口的代码生成
anjichan4261的博客
06-23 179
由于C语言可以动态地分配局部变量,因此它的运行环境都是基于栈式的分配来实现的,所以在函数入口就会生成一段分配栈的代码,如下: #002[section .text] #003$main: #004push ebx #005push esi #006push edi #007 push ebp #008mov ebp, esp #009sub esp, 1...
代码逆向 寻找main函数入口.docx 有点汇编
04-19
这要问你学习C语言的第一步是什么,很自然的,逆向的第一步当然也是大名鼎鼎“HelloWorld!”了。但是也不要因此就误认为这一节会很简单,如果你是第一次接触逆向的话,那么这一节还是有些难度的。 好的,让我们先...
滴水逆向 文件操作(pe修改)C语言代码
06-20
- **命令执行入口** (`run`):这是整个程序的入口函数,用于解析用户输入的命令,并调用相应的函数执行。 综上所述,这个C语言项目不仅涉及到了文件系统的基本概念和技术细节,还包含了丰富的文件操作功能,能够...
C语言爱心代码,可以直接编译使用
11-08
main函数中,程序声明了一个整数变量n,用于控制输出爱心的大小。为了简化程序和让输出更加美观,作者将其设置为6。 该程序包含两个主要的循环结构。第一个循环用于生成爱心的上半部分,通过逐步增加输出星号(*)...
PDU短信编解码demo,c语言
最新发布
12-27
在IT行业中,PDU(Protocol Data Unit)短信编解码是一种常见的通信技术,特别是在GSM(全球系统移动通信)网络中。PDU模式是短信服务中心(SMSC)与手机之间交换短信的一种方式,它使用二进制编码来传输数据。在...
C语言与LZW算法实现的压缩程序源代码
05-10
5. **主程序**:`main.c`是整个程序的入口点,它调用压缩和解压缩的函数,处理用户输入和输出。此外,可能还包括错误处理和命令行参数解析等辅助功能。 6. **头文件**:`encoder_dict.h`和`decoder_dict.h`是C语言...
c语言中没有main函数吗,C语言之没有main函数的helloworld示例
weixin_39945679的博客
05-19 189
几乎所有程序员的第一堂课都是学习helloworld程序,下面我们先来重温一下经典的C语言helloworl/* hello.c */#include int main(){printf("hello world!\n");return 0;}这是一个简单得不能再单的程序,但它包含有一个程序最重要的部分,那就是我们在几乎所有代码中都能看到的main函数,我们编译成可执行文件并查看符号表,过滤出里面...
主函数main和程序入口_start
m0_55708805的博客
06-11 3622
主函数main和程序入口_start 众所周知,C程序的入口并不是main函数,而是_start函数,只不过gcc链接器默认会依赖一些库,然后_start会调用main。 那么_start做了什么呢?调用关系是怎样的? 一、概括 下图是Linux中一个可执行程序执行时,各个模块的调用情况: 这张图几乎包含了,一个程序,从加载到执行的所有过程,注意,main函数的位置。 只有main函数部分是可以自己写的,其余部分都是加载器干的。 二、具体分析 想具体分析,可以写一个C程序然后反汇编,查看汇编代码。 但是,
C语言函数入口参数的格式,uboot中C语言代码入口函数(start_armboot)的注释
weixin_33417904的博客
05-18 323
自开学以来一直在研究s3c2440A的板子,现在在嵌入式方面,我现在基本上处于0阶段,所以进度非常慢.我先学的是uboot,不过现在还没学会,因为没有针对这个板子把uboot移植成功.唉...急....在介绍该函数之前,我们需要看一看几个数据结构,这些是u-boot中几个重要的数据结构:1)、gd_t该数据结构保存了u-boot需要的配置信息(我暂时称它为全局信息表),typedef str...
C语言程序的入口真的是main方法吗?
XuJiaKai的博客
06-01 1674
C语言的真正入口到底是什么?为什么说C语言程序的入口main函数呢??
c语言main入口,轻松理解C语言入口函数main
weixin_35952929的博客
05-19 380
只知道C语言必须要有一个且只能有一个而且名字还固定的main,But why ? 如果不了解它,就得多背诵一些莫名其妙的枯燥的规矩了。现在我试图用自己的理解来解释一下,供参考。这就得从几方面来认识;首先得从函数产生的来源说起。在开发程序中为了不让代码重复(否则修改起来会要多处去修改,劳民伤财)。因此就想到了把公共的东西提取出来,借助数学函数的概念,封装出函数:可以有输入,可以有产出,中间是处理过程...
如何快速确定程序的入口
weixin_42031299的博客
12-27 2443
前言 在阅读代码时,知道程序的入口是十分重要的, 应用程序(C语言) 汇编+C语言
main 未定义 但是已经有main 函数了_C语言程序main入口函数
weixin_39617318的博客
11-28 919
一.main()函数是什么样的我们先要搞清楚main()函数有哪几种?查阅C89/C99/C11标准文档,里面明确固定了两种写法:int main(void) { /* ... */ }int main(int argc, char *argv[]) { /* ... */ }除此之外,其他写法应该都是不规范的写法,常见的有以下几种1、main()直接的mian()并没有返回值,没有入参。这种写法...
逆向分析之寻找main函数
yushiqiang1688的专栏
01-19 4953
逆向分析之寻找main函数作者: 日月明时间:2010-01-19 工具:ollydbg、IDA、peid    刚接触逆向分析,看到一行行的汇编代码,不时感到一阵阵头痛,不知道从何入手。思来想去,还是想看看我们在C语言中的main函数它在什么地方吧。。。。。。。。。。。看看C语言main函数吧 int main(int argc, char* argv[]){ 
C语言编写一个函数,实现逆向输出字符串的单词
05-11
以下是用C语言编写一个函数,实现逆向输出字符串的单词的例子: ```c #include #include void reverseWords(char *s) { int len = strlen(s); int i = 0, j = 0; while (i ) { while (i [i] == ' ') i++; if ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值