获取程序入口点

最新推荐文章于 2022-07-06 10:39:12 发布
最新推荐文章于 2022-07-06 10:39:12 发布
阅读量911 收藏 2
点赞数
分类专栏: c++ 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Non_function/article/details/121942806
版权

入口点介绍

一个程序从最开头往下算大致可以分为DOS头,DOS头相关数据,PE头,然后才是文件数据,我们要找的入口点地址写在了PE头里面。DOS头的长度是固定的,但其相关数据是不固定的,好在DOS头里有一个LONG类型的e_lfanew,这个变量记载了PE头相对DOS头的偏移。

IMAGE_NT_HEADERS是PE头结构体的宏,在32位和64位下分别对应_IMAGE_NT_HEADERS和_IMAGE_NT_HEADERS64。

typedef struct _IMAGE_NT_HEADERS {

    DWORD                         Signature;

    IMAGE_FILE_HEADER             FileHeader;

    IMAGE_OPTIONAL_HEADER32       OptionalHeader;

} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

Signature是任何程序里都是固定不变的,就是ASCII的“PE”两个字

FileHeader对应的东西用不到不作说明

OptionalHeader结构体里的AddressOfEntryPoint是入口点。

获取入口点

获取到入口点,要么你自己一层层调用得到入口点地址,要么就用API。

1. API——ImageLoad()函数

头文件ImageHlp.h

        ImageLoad(

            _In_ PCSTR DllName,

            _In_opt_ PCSTR DllPath

        );

就你填一个.exe文件地址和一个NULL,他最后返回给你一个LOADED_IMAGE结构体的指针,通过如下调用:

PLOADED_IMAGE image = ImageLoad("多字节字符集可执行文件地址",NULL);

DWORD dEnterPointer = image->FileHeader->OptionalHeader.AddressOfEntryPointer;

关于LOADED_IMAGE可以参考msdn介绍

这个dEnterPointer就是入口点地址了。

最后记得释放image:

ImageUnLoad(Image);

因为加载文件头的本质就是把人家内存拷贝过来一份,用完了及时释放省的占地儿。

2. 不使用API的话就自己写一个ImageLoad

头文件:fstream.h

void* INJECT::ImageLoad(const wchar_t* filename){
    std::ifstream streamReader(filename, std::ios::binary);  //以二进制的形式读取文件
    streamReader.seekg(0, std::ios::end);                    //跳转到尾部
    unsigned filesize = streamReader.tellg();                //得到文件大小
    streamReader.seekg(0, std::ios::beg);                    //跳转到开始
    char* _data = new char[filesize];
    streamReader.read(_data, filesize);
    streamReader.close();
    return _data;
}

void INJECT::UnloadImage(void* _data){        
    delete[] _data;        
}

函数使用:

DWORD INJECT::GetEntryPoint(const wchar_t* filename){
void* image = ImageLoad(filename);//得到DOS头
IMAGE_DOS_HEADER* dosHeader = (IMAGE_DOS_HEADER*)image;//以IMAGE_DOS_HEADER解析信息
unsigned PEAddress = dosHeader->e_lfanew + (unsigned)image;//得到PE头
IMAGE_NT_HEADERS* ntHeader = (IMAGE_NT_HEADERS*)PEAddress;  //以IMAGE_NT_HEADERS解析PE头
DWORD dEnterPoint = ntHeader->OptionalHeader.AddressOfEntryPoint;//获取PE头内的入口点地址
UnloadImage(image);//关闭文件
return dEnterPoint;
}

几个结构体的关系:

LOADED_IMAGE                        包含PIMAGE_NT_HEADERS32(PE头)

IMAGE_NT_HEADERS32           包含IMAGE_OPTIONAL_HEADER32(包含入口点位置的结构体)

IMAGE_OPTIONAL_HEADER32        包含DWORD类型的AddressOfEntryPoint(入口点)

API版的ImageLoad和手写的ImageLoad的区别且不谈,就获取到数据后的操作:

API:

DWORD dEnterPointer = image->FileHeader->OptionalHeader.AddressOfEntryPointer;

手写:

IMAGE_DOS_HEADER* dosHeader = (IMAGE_DOS_HEADER*)image;                //以IMAGE_DOS_HEADER的形式解析信息

unsigned PEAddress = dosHeader->e_lfanew + (unsigned)image;                //得到PE头

IMAGE_NT_HEADERS* ntHeader = (IMAGE_NT_HEADERS*)PEAddress;                //以解析PE头特有的结构解析PE头

DWORD dEnterPoint = ntHeader->OptionalHeader.AddressOfEntryPoint;        //获取PE头内的入口点地址

可以看出手写的函数,代码传回的是指向DOS头的指针而非PLOADED_IMAGE,这个LOADED_IMAGE结构体内部就有PE头的已经计算好的地址,而我们手写的话,得到了DOS头地址,需要用DOS头地址加上e_lfanew才能得到真正的PE头。

程序入口
啦啦啦
10-22 2240
程序入口 加载 linux可执行文件都是通过调用execve函数来调用加载器的. 加载器将可执行文件的代码和数据从磁盘拷贝到内存中, 然后通过第一条指令来查找程序运行的入口, 从而执行整个程序. 而将数据从磁盘复制到内存的过程就叫做加载. 程序入口 通过从内核设置的第一条指令找到程序入口, 一般gcc默认编译程序入口是_libc_start_main这一个默认函数, 而默认函数的入口又是存...
React 更改程序入口(index.js文件位置变更)
最新发布
weixin_51560545的博客
02-18 1053
使用create-react-app快速搭建react环境后,npm start启动程序的默认入口为/src/index(即src目录下的index.js文件)此时我们想更改index.js所在目录,除了需要更改相应的引用(更改时vscode会自动提示是否更新相关引用)之外,还需要重新设置入口。路径:node_modules ->react-scripts->config->paths.js。切记,该文件中不止一处appIndexJs需要更改,一定要更改所有的地址并保存。
可执行程序入口在那里?
09-30 2179
今天终于有时间来研究一下一个很大很大的工程编译成一个exe和若干dll后,程序是如果执行它的第一条指令的?操作系统以什么规则来找到应该执行的第一条指令(或说如何找到第一个入口函数的)?                我们以前写windows程序时,都是先写个main()函数,然
【逆向分析】查找程序入口
qq_45972928的博客
04-20 3922
工具:OllyDBG 链接:https://pan.baidu.com/s/1ApV8xzmlI00TeokUF6cmZw?pwd=6ilp 提取码:6ilp 1、尾部跳转法 跳转指令位于代码的尾部且跳转到一个很远的位置 而且在这条指令的后面,会存在着非常多的0x00字节,也就是一大堆无意义的代码 进行跳转即可发现程序入口 2、OD的插件法 击:插件->OllyDump->Find OEP by setting Nop(Trace over) 会自动寻找入口 3、利用p.
如何快速确定程序入口
weixin_42031299的博客
12-27 2668
前言 在阅读代码时,知道程序入口是十分重要的, 应用程序(C语言) 汇编+C语言
如何获得RVA(相对虚地址)的值,从而得到一个程序入口
weixin_30399055的博客
08-10 540
得到RVA相对虚地址 我们用记事本为例: 首先用VS2010的命令行输入: dumpbin /headers C:\WINDOWS\system32\notepad.exe 如: 找到:OPTIONAL HEADER VALUES 中的entry point 此时739D就是所谓的RVA。 至于dumpbin 的其它参数可以参考:http://msdn.micr...
在函数内部获得函数入口地址的方法
delphiwcdj的专栏
04-07 3862
函数名就是入口地址。
程序入口代码
10-19
在计算机编程领域中,程序入口是任何可执行程序启动时首先执行的一段代码。这段代码对于确保程序能够按照预期的方式运行至关重要。本篇将详细介绍不同开发环境中程序入口的具体实现方式,并探讨如何通过优化入口...
php实现的单一入口应用程序实例分析
10-23
单一入口应用程序是指一个应用程序通过一个固定的入口来处理所有用户请求。在PHP开发中,这种架构模式可以简化路由机制,提高代码的可维护性和安全性。在传统的web应用程序开发中,通常会为每一个功能创建一个...
汇编语言_探索C语言的main函数的入口地址
weixin_43916755的博客
11-20 3032
探索C语言的main()函数的入口地址,首先要编译连接。 在xp系统中,如下操作: ** 按f3,test.c文件的路径,将test.c中的源代码读入到tc.exe中; 接着,按下f10,将option中的directory全部删掉,如下图所示; 进入链接阶段:在compile中,选择link exe开始链接,如下图所示,这一步需要很多.obj文件,放入相同的路径下。 最后成功生成test.exe文件 编译一个程序需要前人写好的很多文件,如下图所示,最终才能生成.exe文件。 现在,寻找Main
c/c++的可执行文件的入口
MoMing_2013的专栏
05-08 1536
c/c++的可执行文件的入口: 可执行程序入口是固定的,被保存在exe文件里面的,由crt决定。 windows是WinMainCRTStartup和mainCRTStartup,gcc是_start,这些入口函数会默认的去调用main或WinMain,调用main是可以修改的。 过程:在编译的最后一步链接阶段完成,windows调用link.exe,gcc调用ld,默认都会连接
获取函数地址的方法
一个勤奋的coder的博客
07-06 1856
获取函数地址
PE结构学习笔记--关于AddressOfEntryPoint位置在文件中怎么确定问题
cogbee的专栏
03-01 6769
第一次学习PE结构,也不知道有没有更好的办法。 1、AddressOfEntryPoint 这个成员在OptionalHeader里面,OptionalHeader的类型是一个IMAGE_OPTIONAL_HEADER32结构。该结构总共有31个成员,占的大小为224字节。成员7就是AddressOfEntryPoint。AddressOfEntryPoint占4个字节。它表示的是代码入口的R
C语言编程获取PE文件导入函数
一根火柴博客
02-02 966
#include #include #include DWORD RvaToOffset(PIMAGE_NT_HEADERS pImageNtHeaders, DWORD dwRva); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImageDOSHeader; PIMAGE_NT_HEADERS pImageN
PE结构---获取导入表中函数的实际地址
93Storm
12-17 975
系统流程图 流程图简要概述: 第一步:通过枚举模块,后去.exe的加载地址,这个地址就是PE在进程中的加载基址。 第二步:计算出导出表的位置。 第三步:将目标进程中的数据读到本进程中。 示例代码下载地址: http://download.youkuaiyun.com/detail/qq_21000273/9362435
C/C++ 获取函数地址
lhh_qrsly的博客
05-24 7950
C C语言中没有类的概念,只有普通的函数。通过函数名就可以得到函数地址 #include <stdio.h> #include <stdlib.h> void fun() { } int main() { printf("%p\n", &fun); } 对于 fun 和 &fun 应该这样理解: fun 是函数的首地址,它的类型是 void () &fun 表示一个指向函数 fun 这个对象的地址, 它的类型是 void (*)() 因此 fun 和
loadexe (delphi)
07-14 1002
 Кстати, вот такой исходник видел как-то на www.delphimaster.ru:program Sys;{$IMAGEBASE $10000000}uses Windows;type TSections = array [0..0] of TImageSectionHeader;var Target: string = Ptest.exe
手动加载DLL(PE文件)
El Psy Congroo
04-30 5072
以前学重载内核时学到了手动加载一个PE文件,想在Ring3层也实现一遍,不过在GitHub上看到有现成的源码了就不自己写了。本篇文章就分析一下这个mmLoader,看看怎么实现手动加载PE文件
如何使用AccessibilityNodeInfo获取程序入口
07-13
要使用AccessibilityNodeInfo获取程序入口,你可以按照以下步骤进行操作: 1. 获取AccessibilityService实例:首先,你需要在你的代码中获取AccessibilityService实例。这可以通过继承AccessibilityService类并实现其方法来实现。 2. 实现onAccessibilityEvent方法:在你的AccessibilityService类中,你需要实现onAccessibilityEvent方法。这个方法会在可访问事件发生时被调用。 3. 获取根节:在onAccessibilityEvent方法中,你可以通过调用getRootInActiveWindow()方法来获取当前窗口的根节。这个方法会返回一个AccessibilityNodeInfo对象,它表示当前窗口的界面元素树。 4. 遍历节树:一旦你获取了根节,你可以使用AccessibilityNodeInfo的方法来遍历整个节树。你可以使用getChildCount()方法获取子节数量,并使用getChild()方法来获取特定索引位置的子节。 5. 判断入口:在遍历节树的过程中,你可以使用AccessibilityNodeInfo的方法来判断每个节是否为程序入口。你可以使用getClassName()方法获取的类名,并使用getText()方法获取的文本内容。根据你的应用程序的特定情况,你可以使用这些信息来判断节是否为程序入口。 请注意,具体的实现细节可能会因为你的应用程序的特定情况而有所不同。你可能需要根据你的应用程序的界面结构和节属性来编写特定的代码逻辑来获取程序入口
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值