指针实现找PE OEP

最新推荐文章于 2020-12-24 17:08:37 发布
最新推荐文章于 2020-12-24 17:08:37 发布
阅读量543 收藏
点赞数
分类专栏: 知识点 文章标签: system 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeook/article/details/5021628
版权

//指针实现找出OEP如口点  PE文件

//PE  在debug版本下从地址0x00400000  往下找第4行 最后4位地址存放的数据就是偏移量   加上0x00400000 
//  再往下数2行半   之后开始的4个字节存储的值就是OPE的入口点偏移值  

//.exe文件用WinHex打开  地址是00000000开始  查找方式和debug版本下一样   看如下截图
#include <stdio.h>
#include <stdlib.h>


int main(int argc, char* argv[])
{
 int nAddrPE=0x00400000;
 //nAddrPE=nAddrPE + 0X30 + 0xc;
 int *pPE=NULL;
 pPE=(int *)(nAddrPE + 0X30 + 0xc);

 int nAddrOEP=nAddrPE + *pPE;


 int *pOEP=NULL;
 pOEP=(int *)(nAddrOEP + 0X20 + 0x8);
  
 printf("PE:%x , OEP:%x /r/n",*pPE + 0x00400000, *pOEP + 0x00400000);

 system("pause");


 return 0;
}

 

 

 

yeook
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
UPack的PE文件头分析与OEP
Mi1k7ea
06-11 1568
UPack(Ultimate PE压缩器),是一种PE文件的运行时压缩器,特点是使用独特的方法对PE头进行变形。UPack会使许多的PE分析程序无法正常运行,因此很多恶意代码都是通过UPack进行压缩。   UPack PE文件头分析 使用UPack压缩notepad.exe: UPack会直接压缩源文件而不会进行备份。压缩后的notepad文件更名为notepad_upack。 使...
读取PE文件OEP
08-21
标题中的“读取PE文件OEP值”是指在编程中解析Portable Executable (PE) 文件格式,特别是查并提取其入口点(Entry Point,简称OEP)的过程。PE文件是Windows操作系统中用于执行的二进制文件,如可执行程序、动态...
两种方法获取文件OEP
SmileMoon's Home
10-19 330
读取的字段都是一样的,只是一个直接从PE文件中读取,一个映射到内存后再读取 1.文件直接访问法 [cpp] view plain copy BOOL ReadOEPByFile(LPCTSTR szFileName)   {       HANDLE hFile;       hFile=CreateFile(szFileName,GENERIC_READ,FILE_SHARE_REA...
VC读取PE文件的OEP(程序入口)
weixin_33797791的博客
06-12 813
为什么80%的码农都做不了架构师?>>> ...
OEP PE入口点
Mr.Out的专栏
01-19 1778
oep是什么oep是程序入口点oep=original entry pointep=entry point O是指原来的意思E是指入口P是指点所以全称是原入口点的意思如何oep(入口点)PE后两行半再过四个字节PE:一开始数四行退四个字节
程序OEP入口特征
12-27
OEPPE(Portable Executable)格式的可执行文件在被加载到内存后,真正开始执行的第一条指令的位置。通常,这个位置不同于文件头中的入口点,因为文件头的入口点通常是加载器为了处理DLLs和初始化工作而设计的。 ...
PE版本信息源码-易语言
06-12
本文将深入探讨如何在易语言中获取PE(Portable Executable)文件的版本信息,这是一个进阶教程,涉及到的知识点包括PE文件结构、易语言编程技巧以及源码解析。 首先,我们要理解什么是PE文件。PE文件是Windows操作...
C++实现查壳程序代码实例
09-04
- 在Python中使用pefile模块,可以快速OEP,但C++实现可能需要更多代码来完成同样的任务。 总结,这个C++代码实例展示了如何使用Windows API读取PE文件并查OEP,这是查壳过程的一部分。通过这种方式,开发者...
广义ESP定律
05-19
通过跟踪ESP的变化,可以出可能的OEP位置,尤其是当常规方法如PE头分析失效时。 **应用广义ESP定律** 1. **栈帧分析**:分析函数调用时ESP的改变,出函数的开始和结束,从而推断OEP。 2. **异常处理**:在异常...
获取PE文件的OEP值 (源码)
驱动开发
06-05 1311
两种方法读取PE文件的OEP值:一是 直接读取文件,二是 通过内存映射。#include "stdafx.h"#include //-------------------------------//read the file of .exe  get the OEP (Original Entry Point)//-------------------------------BOOL Re
遍历PE文件基本信息
VI___
12-07 436
遍历导入表和导出表见另一篇文章 运行效果如下: 代码如下,获取的是主要信息: #include <stdio.h> #include <windows.h> #pragma warning(disable : 4996) IMAGE_DOS_HEADER DosHeader; PIMAGE_DOS_HEADER pDosHeader; IMAG...
PE文件格式概述
热门推荐
bairny的专栏
05-22 1万+
本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写
手动增加pe节并修改oep
wangbabadan的专栏
03-26 908
一直想学学怎么动动pe文件,学习了几篇文章尤其是寒晨的文章后,自己动手也尝试了一下加节和修改oep,写出来供和我一样菜的一起进步。 一、       增加pe节需要的操作 1.    确定内存中的节的对齐粒度和文件中的节的对齐粒度,分别是pe+0038h 和3ch   也就是说 内存和文件的对齐粒度都是1000h. 2.    在文件末尾增加数据。 因为文件对齐的粒度是1000
《逆向工程核心原理》学习笔记(二):PE文件
闵行小鱼塘
12-24 1594
继续学习《逆向工程核心原理》,本篇笔记是第二部分:PE文件格式,包括PE文件、运行时压缩、重定位、UPack、内嵌补丁等内容
【VC6.0】文件操作,读取PE文件
啦啦啦,你看得见我吗?
07-05 1298
FILE *pe; pe=fopen("getcolor.exe","r"); 可以用来打开txt,
FFFFFFFF: wrong basic type sizes in compiler settings
yeook的专栏
11-27 3309
Options --> Compiler--> sizeof(int) == 4 sizeof(bool) == 4 sizeof(enum) == 4 sizeof(long) == 4 sizeof(near pointer) == 4
16进制字符串 格式化到内存
yeook的专栏
05-02 1693
int _tmain(int argc, _TCHAR* argv[]){ char szBuf[]="053d56da3fac2f010000dfe017000401dfb5310100000000d40139020100"; char *p = szBuf; char szTemp[3] = {0}; int n = 0; char szResult[200] = {0}; for (int i=0,j=0;i {  memcpy(szTemp,p+i,2);  sscanf(szTemp,"%x",&
"深入剖析PE可执行文件格式:静态分析安全必备
本文档描述了Windows系统下可执行文件格式的标准,介绍了PE文件的结构、如何获取PE文件的OEP(Original Entry Point)、如何获取PE文件中的资源以及如何修改PE文件以显示MessageBox等内容。 PE文件格式采用了一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值