逆向分析之寻找main函数

最新推荐文章于 2023-03-19 16:11:14 发布
最新推荐文章于 2023-03-19 16:11:14 发布
阅读量4.9k 收藏 5
点赞数 2
文章标签: mfc 语言 go 汇编 工具 2010
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yushiqiang1688/article/details/5213187
版权
本文介绍了如何使用逆向工程工具ollydbg和IDA寻找C语言和MFC程序中的main函数。在C程序中,通过跟踪GetCommandLineA指令后的call指令,找到压栈指令的jmp地址即为main函数。而在MFC程序中,经过一系列初始化过程后,找到类似跳转的call指令即可定位main函数。
摘要由CSDN通过智能技术生成

逆向分析之寻找main函数

作者: 日月明

时间:2010-01-19

 

工具:ollydbgIDApeid

 

   刚接触逆向分析,看到一行行的汇编代码,不时感到一阵阵头痛,不知道从何入手。思来想去,还是想看看我们在C语言中的main函数它在什么地方吧。。。。。。。。。。。

看看C语言的main函数吧

 int main(int argc, char* argv[])
{
  printf("Hello main!/n");
  return 0;
}

 

   当我们用ollydbg载入一个程序时,程序首先停留在程序入口点(通过peid可以看到)。如图:

 

  

F8ollydbg

最低0.47元/天 解锁文章
yushiqiang1688
关注
汇编 c++/c 确定main函数的位置
Catch me if you can
04-30 5972
根据启动函数确定winmain/main函数的入口地址
逆向工程核心原理学习笔记(一):寻找程序的主函数Main
killcoco的小窝
04-14 3932
首先编译release版本的helloword程序,代码如下: 编译完成,拖进OD,结果如图。 程序断在了004011A1 这个地址,这个就是EntryPoint. 这个地址调用了004022DF这个地址的函数,F7跟进函数,如图。 并没有什么有用的信息让我们查找Main函数,然后Ctrl+F9调到函数结尾,retn. 然后F8跳出,到达了
VS2013中带参数的main()函数调试
malin0523的博客
05-15 1683
1.项目文件右击——>属性。2.在弹出的对话框中,选择调试,然后在命令参数后面输入参数。
代码逆向(一)——寻找main函数入口
蛛丝
08-12 1万+
<br />逆向的第一步是什么?这要问你学习C语言的第一步是什么,很自然的,逆向的第一步当然也是大名鼎鼎“HelloWorld!”了。但是也不要因此就误认为这一节会很简单,如果你是第一次接触逆向的话,那么这一节还是有些难度的。<br /><br />      好的,让我们先写一个世界上最出名的程序:<br /><br />int _tmain(int argc, _TCHAR* argv[])<br />{<br />    printf("Hello World!/r/n");<br />    ret
查找main函数
顺其自然~专栏
11-20 1566
一、说明 1.使用环境 寻找main函数的主要目的,还是寻找用户代码,所以通常只用在控制台程序和SDK程序。 其他界面程序会使用各种界面库,即便找到main函数,里面也是一堆非用户编写代码,没有任何意义。 2.调用方式会影响代码特征 VS默认调用约定_cdecl,堆栈传参,所以传参的代码是PUSH* 如果是其他CALL,会用到寄存器传参和堆栈传参,代码是会发生变化的 二、查找main函数 1.main函数特点 main( int argc, // 命令行参数数量 .
使用OD找到main函数
weixin_46465532的博客
03-07 1214
1.使用OD加载hello word 2.跟进call Hello.000E166F 第一条命令为跳转命令,跟进函数,观察,可知这不是main函数。 3.退出该函数来到下一条命令,执行下一条命令,程序跳转其他地方,如图所示。 4.跟进call Hello.00E1960 观察可发现,该程序又进行了跳转,跟进此之后,可看到指令如下。观察可知,此处也并非main函数。退出此处,回到主程序。 5.跟进 Hello.000E1447,如下图 依次跟进,可发现都不是main函数 5
C语言main函数查找,代码逆向(一)——寻找main函数入口
weixin_29452603的博客
05-19 1042
该楼层疑似违规已被系统折叠隐藏此楼查看此楼004113A0 PUSH EBP ; 函数入口004113A1 MOV EBP, ESP004113A3 SUB ESP, 0C0004113A9 PUSH EBX004113AA PUSH ESI004113AB PUSH EDI004113AC LEA ED...
逆向程序分析:Windows的main(),启动函数分析
CodeBowl的博客
10-23 1175
@[TOC](Windows main() 启动函数分析) 实验环境 Windows10 Vs2015 x86程序 启动函数 C/C++的运行时启动函数,该函数负责对C/C++运行库进行初始化。 启动函数的作用: 检索指向新进程的命令行指针、检索指向新进程的环境变量指针、全局变量初始化、内存初始化等。 当所有的初始化操作完成之后,启动函数会调用应用程序的进入点函数。 调试实战 我们写一个简单的main函数,然后F5进入调试。 mainCRTStartup() 这个函数调用了__scrt_common_ma
代码逆向 寻找main函数入口.docx 有点汇编
04-19
逆向的第一步是什么?这要问你学习C语言的第一步是什么,很自然的,逆向的第一步当然也是大名鼎鼎“HelloWorld!”了。但是也不要因此就误认为这一节会很简单,如果你是第一次接触逆向的话,那么这一节还是有些难度的...
OllyDBG 入门系列(三)-函数参考
07-15
OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
2.如何定位MAIN函数,修改逻辑跳转指令案例 3.加密编码算法 包括base64变表编码和简单异或加密解密案例并带有加解密源码 4.动态调试 包括动态调试解密案例 5.脱壳处理 包括解压壳脱壳解密案例 6.附带4个解密案例程序...
OllyDBG 找程序主函数入口地址总结
輚至消亡
04-13 9006
转载:http://blog.chinaunix.net/uid-13746440-id-4264214.html通常用OllyDBG打开一个程序之后,并没有直接跳到程序主函数入口地址,而是在进行一些初始化工作,这个是需要跳过的。如果你对反汇编比较熟悉的话可以直接找函数入口地址:1. 找几个压栈指令2. 压栈完了之后就是对栈的初始化3. 通常在压栈指令之前都有一个跳转指令(这个有时地址偏移比较大)...
【逆向工程核心原理】第二章—— 逆向分析Hello World! 在Ollydbg中快速查找指定代码的四种方法
最新发布
wuwuhe99的博客
03-19 1498
这种情况下,DLL代码库被加载到进程内存后,我们可以直接向DLL代码库添加断点。A)是操作系统对用户应用程序提供的一系列函数,它们实现于C:Windowsisystems32文件夹中.dl文件(如keme132.dI1、USer32.dI、gdi32.d1l、advapi32.dI1、ws2_32.dI1等)内部。使用压缩器/保护器工具对可执行文件进行压缩或保护之后,文件结构就会改变,此时OllyDbg就无法列出API调用列表了(甚至连调试都会变得十分困难)。双击“Hello word!
逆向工程01
weixin_44827677的博客
05-29 487
逆向工程学习,ollydbg查找main函数,打补丁方式修改字符串。
ollydbg找到主程序入口
08-12 2740
通常用OllyDBG打开一个程序之后,并没有直接跳到程序主函数入口地址,而是在进行一些初始化工作,这个是需要跳过的。      如果你对反汇编比较熟悉的话可以直接找函数入口地址:      1. 找几个压栈指令      2. 压栈完了之后就是对栈的初始化      3. 通常在压栈指令之前都有一个跳转指令(这个有时地址偏移比较大)      如果上述都不太熟悉的话可以中规中矩的进行
dbg 寻找main函数
eli的博客
10-25 1603
方法一,3个push和堆栈平衡 push edi push esi push dword ptr ds:[eax] call project1.D31040 add esp,C 如上,因为main函数的参数是3个,所以,在调用main函数之前一定会有3个参数入栈。 调用main函数后,要平栈,就需要add esp,C 这也是一个main函数的标志。 1,3个入栈 2,调用call--------main函数 3,栈顶指针+C 方法二,xxx ...
【笔记】OllyDBG 找程序主函数入口地址总结
weixin_33713707的博客
07-27 1217
因为期末考试的原因,再加上参加高考XX的缘故,接着又是信息安全大赛,完了之后发现自己有好久没有去动过OllyDBG了,shellcode这东西也好久没在深入过了。突然有一天,Ivan这小子找了个挑战题说让我先弄弄,看能不能让新来的同志上手练习下漏洞利用。结果发现自己找了好半天,反反复复调试了几遍才找到程序主函数入口地址。 这个是使用OllyDBG最基础...
[小白教程]动态调试工具Ollydbg的简单使用
热门推荐
Test网络安全
09-10 1万+
本文要点 什么是OD OD的下载 OD的简单使用 实例解析 1.什么是OD Ollydbg 通常称作OD,是反汇编工作的常用工具,OD附带了200脱壳脚本和各种插件,功能非常强大,可以过SE,VMP3.0,深受逆向圈内人士的喜爱 对OD的窗口签名进行了更改,使用了繁体字从而避免被针对性检测 修改了OD窗口切换快捷键为TAB键、 修改附加窗口支持滚轮滚动、 修改OD启动时为优先加载插件、 还更新了一款小插件,F11直接到程序的入口点,增加了检测蓝屏、关机、格盘等一系列反调试插件 增加了ad
逆向解析C++拷贝构造函数的构造与析构行为
本文档将从逆向分析的角度探讨C++中的拷贝构造函数,通过一个名为`HowMany`的类实例来演示其工作原理。 首先,让我们看下`HowMany`类的定义。它包含一个静态成员变量`objectCount`,用于追踪类实例的数量。类中有三...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值