两种方法获取文件OEP

最新推荐文章于 2021-04-03 13:32:30 发布
最新推荐文章于 2021-04-03 13:32:30 发布
阅读量351 收藏
点赞数
分类专栏: ASM&PE 文章标签: OPE 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yueliang2100/article/details/82190235
版权

读取的字段都是一样的,只是一个直接从PE文件中读取,一个映射到内存后再读取

1.文件直接访问法

[cpp] view plain copy

  1. BOOL ReadOEPByFile(LPCTSTR szFileName)  
  2. {  
  3.     HANDLE hFile;  
  4.     hFile=CreateFile(szFileName,GENERIC_READ,FILE_SHARE_READ,0,OPEN_EXISTING,FILE_FLAG_SEQUENTIAL_SCAN,0);  
  5.     if (INVALID_HANDLE_VALUE==hFile)  
  6.     {  
  7.         AfxMessageBox(_T("打开文件失败!"));  
  8.         return FALSE;  
  9.     }  
  10.     DWORD dwOEP,cbRead;  
  11.     IMAGE_DOS_HEADER dos_header[sizeof(IMAGE_DOS_HEADER)];//IMAGE_DOS_HEADER dos_header[1];  
  12.     if (!ReadFile(hFile,dos_header,sizeof(IMAGE_DOS_HEADER),&cbRead,NULL))  
  13.     {  
  14.         AfxMessageBox(_T("读取DOS头部失败!"));  
  15.         CloseHandle(hFile);  
  16.         return FALSE;  
  17.     }  
  18.     int nEntryPos=dos_header->e_lfanew+40;  
  19.     SetFilePointer(hFile,nEntryPos,NULL,FILE_BEGIN);  
  20.     if (!ReadFile(hFile,&dwOEP,sizeof(dwOEP),&cbRead,NULL))  
  21.     {  
  22.         CloseHandle(hFile);  
  23.         return FALSE;  
  24.     }  
  25.     CloseHandle(hFile);  
  26.     CString strOEP;  
  27.     strOEP.Format(_T("OEP:0x%X"),dwOEP);  
  28.     AfxMessageBox(strOEP);  
  29.     return TRUE;  
  30. }  

2.通过内存映射读取

[cpp] view plain copy

  1. BOOL ReadOEPByMemory(LPCTSTR szFileName)  
  2. {  
  3.     HANDLE hFile;  
  4.     HANDLE hMapping;  
  5.     PVOID pBaseAddr;  
  6.     if ((hFile=CreateFile(szFileName,GENERIC_READ,FILE_SHARE_READ,  
  7.         0,OPEN_EXISTING,FILE_FLAG_SEQUENTIAL_SCAN,0))==INVALID_HANDLE_VALUE)  
  8.     {  
  9.         AfxMessageBox(_T("打开文件失败!"));  
  10.         return FALSE;  
  11.     }  
  12.     //创建内存映射文件  
  13.     if (!(hMapping=CreateFileMapping(hFile,0,PAGE_READONLY|SEC_COMMIT,0,0,0)))  
  14.     {  
  15.         AfxMessageBox(_T("Mapping failed."));  
  16.         CloseHandle(hFile);  
  17.         return FALSE;  
  18.     }  
  19.     //把文件映像存入pBaseAddr  
  20.     if (!(pBaseAddr=MapViewOfFile(hMapping,FILE_MAP_READ,0,0,0)))  
  21.     {  
  22.         AfxMessageBox(_T("View Failed."));  
  23.         CloseHandle(hMapping);  
  24.         CloseHandle(hFile);  
  25.         return FALSE;  
  26.     }  
  27.     IMAGE_DOS_HEADER *dos_header=(IMAGE_DOS_HEADER *)pBaseAddr;  
  28.     IMAGE_NT_HEADERS *nt_header=(IMAGE_NT_HEADERS *)((DWORD)pBaseAddr+dos_header->e_lfanew);  
  29.     DWORD dwOEP=nt_header->OptionalHeader.AddressOfEntryPoint;  
  30.     //清除内存映射和关闭文件  
  31.     UnmapViewOfFile(pBaseAddr);  
  32.     CloseHandle(hMapping);  
  33.     CloseHandle(hFile);  
  34.   
  35.     CString strOEP;  
  36.     strOEP.Format(_T("OEP:0x%X"),dwOEP);  
  37.     AfxMessageBox(strOEP);  
  38.     return TRUE;  
  39. }  

两种方法获取文件OEP - ComeHere - SmileMoons Home

第二种方法要注意DOS STUP与PE头不一定是紧挨着的,一定要通过(DWORD)pBaseAddr+dos_header->e_lfanew定位到IMAGE_NT_HEADERS

如果还要读入口点的代码或其它东西,把PAGE_READONLY|SEC_COMMIT换成PAGE_READONLY|SEC_COMMIT|SEC_IMAGE会给你带来很大的便利

谢谢列宁。

yueliang2100
关注
专栏目录
UPack的PE文件头分析与OEP查找
Mi1k7ea
06-11 1615
UPack(Ultimate PE压缩器),是一种PE文件的运行时压缩器,特点是使用独特的方法对PE头进行变形。UPack会使许多的PE分析程序无法正常运行,因此很多恶意代码都是通过UPack进行压缩。   UPack PE文件头分析 使用UPack压缩notepad.exe: UPack会直接压缩源文件而不会进行备份。压缩后的notepad文件更名为notepad_upack。 使...
PE文件基础(不全还在补全) V1.0
dohxxx的博客
10-05 523
PE的基本概念 地址: PE中设计的地址有四类: 1.虚拟内存地址(VA): 用户的PE文件被操作系统加载进内存后,PE对应的进程支配了自己独立的4GB虚拟空间。在这个空间中定位的地址称为虚拟和内存地址(Virtual Address VA), 所以虚拟内存地址的范围是0000 0000h ~ 0fffffffh 在PE中,进程本身的VA被解释为:进程的基地址+相对虚拟内存地址 2,相对虚拟内存(...
读取PE文件OEP
08-21
使用三种方法读出PE文件oep值:文件流、文件读写函数、内存映射。带源码,程序在delphi 7+WinXP sp2 下编译通过
编程实现获取目标进程OEP
輚至消亡
04-03 242
下面这段代码可以实现获取目标进程的OEP #include <ImageHlp.h> #pragma comment(lib, "Imagehlp.lib") PBYTE GetExeEntryPoint(LPCSTR szProcessName) { PLOADED_IMAGE pstLoadedImg = NULL; PIMAGE_NT_HEADERS pNtHdr = { 0 }; DWORD dwEntryPt = 0; pstLoadedImg = ImageLoad(
通过内存映射读取OEP
李元静
08-21 1523
通过内存映射读取OEP值 获得OEP值的另一种方法是通过内存映射来实现,此方法也需要熟悉PE的文件结构。与直接访问PE的方法不同,内存映射的方法首先把PE文件映射到计算机的内存,再通过内存的基指针获得IMAGE_DOS_HEADER的头指针,由此再获得IMAGE_ OPTIONAL_HEADER指针,这样就可以得到AddressOfEntryPoint的值。下面是通过内存映射获得OEP值的方法
指针实现找PE OEP
yeook的专栏
12-16 571
//指针实现找出OEP如口点  PE文件//PE  在debug版本下从地址0x00400000  往下找第4行 最后4位地址存放的数据就是偏移量   加上0x00400000  //  再往下数2行半   之后开始的4个字节存储的值就是OPE的入口点偏移值   //.exe文件用WinHex打开  地址是00000000开始  查找方式和debug版本下一样   看如下截图#includ
"基于深度学习的在线考试作弊检测方法
*智能系统与应用16(2022)200153使用基于深度学习的作弊检测方法构建高效的在线考试系统SanaaKaddoura, Abdu Gumaeiba扎耶德大学,阿拉伯联合酋长国阿布扎比b沙特阿拉伯阿勒哈杰萨塔姆·本·阿卜杜勒阿齐兹王子...
《加密与解密》ASProtect 2.1x SKE 脱壳过程中遇到的问题与解决方法及脱壳小结
u010486366的博客
01-19 1482
在学习《加密与解密》脱壳部分时,做了一次关于ASProtect的脱壳实验,但按照书上的步骤会报保护错误(Protect error)。为了明白原因,我继续往下深入。除了分析结果,以下还记录了关于脱壳学习的小结,方便以后自己和坛友查看。      寻找OEP      Dump      解除 “Emulate standard system functions”功能      通过脚本解除 “Em
Armadillo壳全面解析:脱壳方法与实战技巧
Armadillo壳是软件保护技术中的一种,它采用多种复杂的保护机制来防止未经授权的逆向工程分析。在本篇文章中,我们将深入探讨如何应对Armadillo壳的保护措施,包括理解和解决各种反调试、双进程保护、IAT保护、代码...
易语言DLL函数查看器
08-22
易语言DLL函数查看器源码系统结构:计算偏差,查看函数,加载皮肤,RtlMoveMemory_IMAGE_DOS_HEADER,RtlMoveMemory_IMAGE_NT_HEADERS32,RtlMoveMemory_IMAGE_IMPORT_DESCRIPTOR,RtlMoveMemory_IMAGE_EXPORT_DIRECTORY,RtlMoveMemory_IM
OEP大全,快速查看不同编译语言编写的程序的OEP特征工具
01-16
快速查看不同编译语言编写的程序的OEP特征工具,就像字典一样,需要哪个查哪个。点击编译语言按钮,就会出来相应的OEP特征
DOS头部IMAGE_DOS_HEADER
夜空中最亮的星
10-08 9556
对于一个PE文件来说,最开始的位置就是一个DOS程序。DOs
【转载】秒到oep,支持所有壳,包括vmp
weixin_33888907的博客
04-24 289
from:http://www.52pojie.cn/forum.php?mod=viewthread&amp;tid=120450 你可以怀疑这个方法,真的假的一试就知道,如果不知道怎么找,可以把你的试验品传到网盘,有空我把针对你试验品的步骤帖给你。有的OEP被抽了代码的只能找到伪OEP,也就是被抽掉之后剩下的头部地址。 你也可以直接无视这个方法,对你少一个选择,对我没有任何损失。     ...
Re-脱壳技术 脱壳学习(0): 各语言OEP截图
逆向随笔
12-26 499
易语言独立编译 易语言非独立编译 VC++6 VC++7 VB5 VB6 Delphi BC++ VS2008Debug VS2008Release VS2012-VS2015 Debug VS2012-VS2015 Release 汇编语言
逆向之 OEP的特点(附加逆向练习160题之001)
bilibili的博客
01-12 1506
可以从程序里找一些call的调用最终都会走到上面核心代码图位置(文字不太好表达),这个方法可以区分和VC的区别,非独立编译比较容易识别,入口特征和模块特征都有krnln.fnr。 拿到手一个exe 首先看他有没有加壳,要知道其是否加壳我们就得知道不同编译器编译出来的标准OEP是什么样子的。主流语言编译器包括VC,易语言,.net,delphi等等,及不常见得VB,asm等等。 一:VC6 标准
脱壳笔记-寻找OEP方法总结
走在成长的路上
01-03 7545
详解手动跟踪法、ESP定律方式、内存二次断点法的原理与使用
新手必须懂得什么叫OEP,以及查找的常用方式软件破解什么是oep?
要不,单步调试走起?
11-16 5810
转自: S.l.e!ep.¢% - C++博客 ============================== 新手必须懂得什么叫OEP,以及查找的常用方式软件破解什么是oep? original entry point 原始入口点 常见脱壳知识:1.PUSHAD (压栈) 代表程序的入口点  2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP
VC读取PE文件OEP(程序入口)
weixin_33797791的博客
06-12 839
为什么80%的码农都做不了架构师?>>> ...
深入解析OEP与PE文件感染注入技术
资源摘要信息:"OEP感染注入是基于Windows操作系统中PE(Portable Executable)文件格式的一种技术。要深入理解这一技术,首先需要掌握OEP(Original Entry Point,原始入口点)的概念。在讨论DLL(动态链接库)和EXE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yueliang2100

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值