不同语言程序的特征

原创 于 2019-12-28 19:42:59 发布 · 867 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#信息安全 #反汇编 #安全 #app安全

本文探讨了通过OEP特征、链接器版本和区段信息来识别不同编程语言的方法,如BC++、Delphi、易语言、VC6.0、VS系列、VB及汇编程序。强调OEP的特征不能单独作为判断依据,需要多层验证。
不同opCode,Call的作用是不同的。

E8 Call Offset(调用普通函数)(VS)
FF 15 Call Dword ptr [ 地址 ] (调用IAT)(VS)

如何确定目标程序的语言?

1.OEP特征
2.链接器版本
3.区段信息

Borland C++程序 ( BC++ )

1.OEP特征

  • OEP是一个短跳转,之后是一个字符串:fb:C++Hook
  • 第一个调用的函数:GetModuleHandle
  • 二进制特征:EB 10 66 62 3A 43 2B 2B 48 4F 4F 4B
    在这里插入图片描述
  • IAT函数的调用通常都是 E8 跳转表 + FF25 IAT 地址
    在这里插入图片描述
    2.链接器版本 5.0
    在这里插入图片描述
    3.区段信息
    在这里插入图片描述

Borland Delphi程序(Delphi)

1.OEP特征

  • 二进制特征:55 8B EC 83 C4 F0 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00
  • OEP处有连续的5个Call,后面紧跟着一堆零;其中第一个Call里面调用了GetModuleHandle
    在这里插入图片描述

在这里插入图片描述

  • 由于 Delphi 和 BC++ 程序都是宝蓝公司的,所以 IAT 调用特征相同;即IAT函数的调用通常都是 E8 跳转表 + FF25 IAT 地址
    在这里插入图片描述
    2.链接器版本 2.25
    在这里插入图片描述
    3.区段信息
    在这里插入图片描述

易语言、VC6.0(Debug、Release版本)

1.OEP特征

  • 二进制特征:55 8B EC 6A FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 00 00 00 00 50 64 89 25 00 00 00 00
  • 第一个CALL是调用 GetVersion
  • 易语言、Release版:SUB ESP,0x58
    在这里插入图片描述
  • Debug版:ADD ESP,-0x5C
    在这里插入图片描述
    2.区段信息、链接器版本 6.0
    在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

VS 程序的特征

VS 版本的不同会导致编写出的程序特征(链接器、入口点、区段)也不同。

  • Debug 下编译的程序区段的数量相对于 Release 多一些
  • Debug版的OEP在内存窗口(查看地址)时,不会显示IAT的名称,而Release版的却可以。
  • (2008、2013) Debug 版本的程序入口点是 JMP -> Call + Call,而 Release版 是 Call + JMP
    在这里插入图片描述

VS2008

1.OEP特征

  • Debug版本( JMP -> Call + Call ):先跳转到某一个地址,地址代码有两个CALL。
    第一个是初始化安全Cookie
    第二个C运行库函数,内有Main函数或者Winmain函数
    在这里插入图片描述

在这里插入图片描述

  • Release版本( Call + JMP )
    在这里插入图片描述
    2.区段信息、链接器版本 9.0
    在这里插入图片描述

在这里插入图片描述

VS2013、VS2012、VS2010

1.OEP特征

  • Debug版本( JMP -> Call + Call ):先跳转到某一个地址,地址代码有两个CALL。
    在这里插入图片描述

在这里插入图片描述

  • Release版本( Call + JMP )
    在这里插入图片描述
    2.区段信息、链接器版本 12.0
    在这里插入图片描述

在这里插入图片描述

VB( VB5、VB6 )

1.OEP特征

  • Push参数之后,调用VB的Dll(msvbvm50 或 msvbvm60)
  • VB6程序
    在这里插入图片描述
  • OEP 上面有一片调用IAT的代码(FF25 IAT 地址
    在这里插入图片描述
  • VB5程序
  • 同样的,在VB5中OEP 上面也是一片调用IAT的代码(FF25 IAT 地址
    在这里插入图片描述
    2.区段信息、链接器版本
    在这里插入图片描述

在这里插入图片描述

汇编程序

  • OEP的特征:文件体积小,入口点直接就是逻辑代码;由于其编写代码不包括C运行库或者其他的一些库,OEP完全由程序员自己指定,那么特征不明显。
  • 链接器版本:一般链接器版本5.12 或者 2.18
补充:这些OEP的特征并不能作为唯一的准则,因为OEP也是可以伪造的;
所以,当我们找到OEP的时候,还需要去多层验证是否为真的OEP。

最后,常见的OEP特征就先总结到这里了,后期遇到 . NET、vs2017、vs2019的程序再添加上来。

如有疑问,欢迎大家指正。

谢谢大家

Winter_Zero
关注
逆向之 OEP的特点(附加逆向练习160题之001)
bilibili的博客
01-12 1604
可以从程序里找一些call的调用最终都会走到上面核心代码图位置(文字不太好表达),这个方法可以区分和VC的区别,非独立编译比较容易识别,入口特征和模块特征都有krnln.fnr。 拿到手一个exe 首先看他有没有加壳,要知道其是否加壳我们就得知道不同编译器编译出来的标准OEP是什么样子的。主流语言编译器包括VC,易语言,.net,delphi等等,及不常见得VB,asm等等。 一:VC6 标准
主流语言在OD下OEP特征
weixin_43916678的博客
07-15 658
对于不同语言所编写的程序,它们反汇编之后,OEP都有不同特征,接下来让我们掌握一些主流语言所编写的程序在OllyDbg下进行反汇编之后的OEP特征。 VC++: VB: BC++: Delphi: 易语言: MASM32 / TASM32入口: VC8入口: 所以,这也就从侧面说明了,在我们拿到文件之后,使用peid去查文件,来判断它是用何种语言编写的重要性。 在我们今后的逆向...
常见程序入口点(OEP)特征
banhanjun1518的博客
07-05 467
delphi: 55 PUSH EBP 8BEC MOV EBP,ESP 83C4 F0 ADD ESP,-10 B8 A86F4B00 MOV EAX,PE.004B6FA8 vc++ 55 PUSH EBP 8BEC MOV EBP,ESP 83EC 44...
OEP特征
RokrJyy的博客
01-18 756
VC2012,2013 Release oep特征  E8????????E9????????3B0D VC2012,2013 Release 第一个CALL内的特征 3145FC8D45EC50FF15????????8B4DF0 Delphi7 OEP特征 5个CALL 5个CALL之后 几乎全0 第一个CALL内有GetMouduleHandleA的调用 5
OEP大全,快速查看不同编译语言编写的程序OEP特征工具
01-16
快速查看不同编译语言编写的程序OEP特征工具,就像字典一样,需要哪个查哪个。点击编译语言按钮,就会出来相应的OEP特征
不同语言程序特征(附件)
12-30
笔记《不同语言程序特征》中,总结了一些常见程序OEP特征;在这里提供了这些程序的Dome,大家可以根据笔记进行挨个验证。 还提供了VS2017和VS2019的控制台程序(Debug、Release版)以及MFC(Debug、Release版)...
精选资源
C++语言程序设计第四版郑莉
01-13
《C++语言程序设计》是郑莉教授与董渊教授合作编著的一本经典教材,主要面向初学者和有一定编程基础的学习者,旨在系统地介绍C++编程语言的基础知识和高级特性。这本书的第五版是对第四版的更新和完善,旨在跟上C++...
FORTRAN语言程序设计.ppt
最新发布
06-25
在本篇关于FORTRAN语言程序设计的PPT内容中,我们可以提取到丰富的知识点。首先,程序设计的基础概念包括程序程序设计和程序设计语言程序是由计算机操作命令的集合,程序设计则是编制这些命令的过程。程序设计...
语言按钮事件特征
02-27
1. **Delphi程序特征码**:`FF93200100005BC353` - **解读**:这段特征码通常出现在Delphi编译的程序中。其中,`FF93` 表示对ESP寄存器进行操作,`20010000` 用于调整栈帧,而`5BC353`则是一系列针对ECX寄存器的...
OEP入口的特征
kedebug
01-07 3471
OEP入口的特征 入口特征............Microsoft Visual C++ 6.0push    ebpmov     ebp, esppush    -1push    004C0618push    004736F8    mov     eax, dword ptr fs:[0]push    eaxmov     dword ptr fs:[0], espsub    
程序OEP入口特征
12-27
常用程序OEP入口特征
主要几种编程语言OEP特征
cdsntxz158的专栏
09-20 1424
以下是主要几种编程语言OEP特征段: Borland C++ 0040163C B> /EB 10             jmp short Borland_.0040164E 0040163E    |66:623A           bound di,dword ptr ds:[edx]    00401641    |43                inc ebx
逆向集录_00_不同程序OEP特征总结
weixin_30518397的博客
04-06 285
在分析/逆向 程序时,如果事先知道这类程序的一些特征,那将会是事半功倍的; 分析/逆向 程序,和写程序不同,比喻的话:写程序像在作案,分析/逆向 程序就像是在破案,对破案来讲,重在假想和推理; 特征1:VC链接器版本 VS版本 链接器版本 VS2017 14.12 VS2015 14.0, 14.1 VS2013 12.0 ...
逆向总结(2)--OEP特征码总结
oBuYiSeng的博客
12-28 2356
常见的OEP特征码(??代码代表一个字节,取值为任意) VS2012、VS2013 Release OEP特征 E8????????E9????????3B0D VS2012、VS2013 Release 第一个CALL内的特征 含有4个call 3145FC8D45EC50FF15????????8B4DF0 Delphi7 OEP特征 含有5个call,5个ca
visual studio生成程序OEP的特点
lixiangminghate的专栏
08-08 1630
PEID 判断一个应用程序的开发环境主要依据3个地方,  1, 代码入口 2, PE结构中的链接器版本     BYTE    MajorLinkerVersion;     BYTE    MinorLinkerVersion; 3, 特征码。来看下不同VS版本生成的exe的特征码: 一:VC6 标准OEP: 入口点代码是固定的代码(55 PUSH EBP),入口调用的API也是相同的,其中...
软件逆向——常见编译器和程序特征
逆向学习
09-20 1181
文章目录BC6入口点特征连接器的版本区段的名称Borland Delphi入口点特征连接器的版本区段的名称VC6.0&易语言程序特征入口点特征连接器的版本区段的名称(重点)VS程序特点链接器版本程序入口点第一个需要进去的CALL的对应关系。第二个需要进去的CALL的对应关系第三个需要进去的CALL的对应关系 BC6 入口点特征 程序入口处会有:66 62 3A 43 2B 2B 48 4F...
VB的OEP特征
谢绝(无视)留言与私信
02-03 997
前言看到一个小工具, 用来查一个指定壳. 主要是size很小, 只有9KB. 想逆向练习下, 这么小, 一定是没壳的, 拖进IDA, 一个函数都没有, 才知道加了壳. 用PEID, Die,RDG查壳, 都指出是UPX. 载入OD, ESP定律, F9后, 直接停在jmp xx, 再F8, 到了OEP.记录00401074 68 F41B4000 push
【黑客免杀攻防】读书笔记16 - 脱壳技术
weixin_30929295的博客
07-15 338
1、寻找OEP 想要比较快速精准地寻找OEP,要熟悉不同语言不同编译器的OEP特征。 1.1、利用内存断点 通过在.text段设断点的方式来找出是哪段代码正在操作此区段中的数据。一般情况下壳的Stub部分与宿主程序的代码段往往不在一个区段中,因此当我们在Stub部分所在的区段中发现了指向宿主程序代码段的跨段跳转时,就代表我们已经找到OEP处了。 实践脱壳:A1Pack Base壳 De...
DNF免CD代码
Xed
10-15 2275
 原值=55 8B EC 56 57 8B F1 E8改值=B8 01 00 00 00 C2 10 00
掌握程序OEP特征与实例分析
资源摘要信息:"不同语言程序特征" 在软件开发领域,不同编程语言通常针对不同的开发需求和场景。每种语言都有其特定的编程范式、语法结构、运行时环境和性能特点。本文档将总结几种常见程序语言特征,以及它们...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值