C++反汇编之“认识启动函数,找到用户入口”

最新推荐文章于 2023-07-18 17:20:50 发布
原创 最新推荐文章于 2023-07-18 17:20:50 发布 · 2.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#汇编 #c++ #comments #command #编译器 #hex

本文揭示了C++程序启动过程中的细节,指出main或WinMain并非程序第一条执行指令,而是由mainCRTStartup等启动函数调用。在进入main之前,操作系统涉及了资源分配、版本检查、堆初始化、命令行参数处理和环境变量解析等一系列操作。通过分析,我们可以更好地理解程序的启动流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        VC++开发的程序,在调试时总是从main或者WinMain开始的。初学编程时老师一定告诉过我们这是程序的入口,也就是程序的第一条指令执行处。这个认识其实是错误的,在他们之前还要更早的调用者。

        在应用程序被加载时,操作系统会分析执行文件内的数据,分配相关资源,读取文件中的代码和数据适合的内存单元,然后才是执行入口代码,入口代码其实并不是main或WinMain,通常是mainCRTStartup,wmainCRTStartup,WinMainCRTStartup,具体由编译选项而定。

        了解VC++6.0的启动函数

        VC++6.0在控制台和对多字节编码环境下的启动函数为mainCRTStartup,由系统库KERNEL32.dll负责调用。在mainCRTStartup中再调用main函数。我们通过编译器提供的Call Stack观察在main函数启动之前系统进行了哪些操作。

      

        图中调用了5个函数,两个NTDLL,一个KERNEL32,一个mainCRTStartup,一个main,VC++提供了mainCRTStartup()函数的源码,该函数完成了一下调用:

1.GetVersion函数:获取当前运行平台的版本号。

2._heap_init函数:用于初始化堆空间。在函数实现中使用HeapCreate申请堆空间

3.GetCommandLineA函数:获取命令行参数信息的首地址

4._crtGetEnvironmentStringA函数:获取环境变量信息的首地址

5._setargv函数:此函数根据GetCommandLineA获取命令行参数信息的首地址并进行参数分析

6._setenvp函数:此函数根据_crtGetEnvironmentStringA函数获取环境变量信息的首地址进行分析。

7._cinit函数:用于全局变量数据和浮点数寄存器的初始化。


main函数识别

在OllyDBG中加载一个程序进行分析,OllyDBG会自动识别GetCommandLineA函数,往下依次是_crtGetEnvironmentStringA,_setargv,_setenvp,_cinit

CPU Disasm
Address   Hex dump          Command                                  Comments
0040122B  |.  E8 502B0000   CALL 00403D80
00401230  |.  FF15 4CD14200 CALL DWORD PTR DS:[<&KERNEL32.GetCommand ; [KERNEL32.GetCommandLineA
00401236  |.  A3 24C64200   MOV DWORD PTR DS:[42C624],EAX
0040123B  |.  E8 20290000   CALL 00403B60                            ; [ACM05.00403B60
00401240  |.  A3 6CAC4200   MOV DWORD PTR DS:[42AC6C],EAX
00401245  |.  E8 06240000   CALL 00403650                            ; [ACM05.00403650
0040124A  |.  E8 B1220000   CALL 00403500                            ; [ACM05.00403500
0040124F  |.  E8 CC1E0000   CALL 00403120                            ; [ACM05.00403120
00401254  |.  8B0D A8AC4200 MOV ECX,DWORD PTR DS:[42ACA8]
0040125A  |.  890D ACAC4200 MOV DWORD PTR DS:[42ACAC],ECX
00401260  |.  8B15 A8AC4200 MOV EDX,DWORD PTR DS:[42ACA8]
00401266  |.  52            PUSH EDX
00401267  |.  A1 A0AC4200   MOV EAX,DWORD PTR DS:[42ACA0]
0040126C  |.  50            PUSH EAX
0040126D  |.  8B0D 9CAC4200 MOV ECX,DWORD PTR DS:[42AC9C]
00401273  |.  51            PUSH ECX
00401274  |.  E8 8CFDFFFF   CALL 00401005

IDA则会更清楚的反应调用情况


使用反汇编工具IDA查看发生异常的汇编代码的上下文去辅助分析C++软件异常
dvlinker的技术专栏
08-08 3万+
本文详细介绍如何使用反汇编工具IDA查看发生异常的汇编代码的上下文去辅助分析C++软件异常,并给出了问题分析实例。
C/C++程序员为什么要了解汇编?了解汇编有哪些好处?如何学习汇编
最新发布
dvlinker的技术专栏
10-09 14万+
本文详细讲解了C++程序员为什么要了解汇编,了解汇编都有哪些具体的好处,如何学习汇编,以及如何看懂汇编代码上下文等,希望能给大家提供一定的借鉴或参考。
C/C++启动函数
xudacheng06的专栏
02-28 5317
今天在看《Windows核心编程》第四章,其中我感兴趣的是关于启动函数的描述。 启动函数的用途如下: 1,获取指向新进程的完整命令行的一个指针; 2,获取指向新进程的环境变量的一个指针; 3,初始化C/C++运行库的全局变量 4,初始化所有全局和静态C++类对象的构造函数。 对于一个程序而言,在执行main函数之前会执行crtexe.c文件中mainCRTStartup或wmain
启动函数反汇编
dasgk的专栏
05-30 1152
如果随便问一个windows程序员程序的执行是从哪里开始的,最可能听到的答案是WinMain,其实这是错误的,首先接收控制的是启动代码,它是编译器在不知不觉中插入到程 序之中的,在执行了必须的初始进程以后,启动代码才在某个时刻调用_wMain,现在来说,IDA可以识别出大部分的Main函数,但是,程序的执行可能不是从WInMain开始的,启动 代码可能有一个对理解算法至关重要的操作。因此,浏览
汇编入口汇编 入口 函数汇编 入口 函数
07-09
汇编 入口 函数汇编 入口 函数汇编 入口 函数汇编 入口 函数汇编 入口 函数汇编 入口 函数汇编 入口 函数汇编 入口 函数汇编 入口 函数汇编 入口 函数
c/c++ 运行库启动函数
FMOW
06-20 1014
可以在crtexe,c文件中找到4个启动函数的源代码。这些函数的用途简单总结如下
[转]C/C++启动函数
sym2006sym的专栏
11-13 840
C/C++启动函数 今天在看《Windows核心编程》第四章,其中我感兴趣的是关于启动函数的描述。 启动函数的用途如下: 1,获取指向新进程的完整命令行的一个指针; 2,获取指向新进程的环境变量的一个指针; 3,初始化C/C++运行库的全局变量 4,初始化所有全局和静态C++类对象的构造函数。 对于一个程序而言,在执行main函数之前会执行crtexe.c文件中mainCRTS
C++反汇编与逆向分析技术揭秘》笔记-第3章认识启动函数找到用户入口
qq_42692132的博客
07-18 1071
C++反汇编揭秘
C++反汇编视频教程(代码+课件+视频全套价值300元的付费教程)
04-04
价值500元的C++反汇编收费课程:课程介绍 本套课程主要探讨如何读懂 C/C++ 语言程序的反汇编代码。所谓反汇编,简单的讲就是把可执行文件的二进制编码翻译成汇编语言代码,从汇编代码中读懂原高级语言的含义。这是...
【逆向工程】C/C++反汇编表示详解(1)函数调用,栈平衡,变量与参数的内存布局
L2510408497的博客
07-06 4406
很多人学完汇编,去看C/C++反汇编就会很懵,发现单独看一条指令看的明明白白,但连在多条指令连在一起就不知道有什么作用了,如 push ebp mov ebp,esp sub esp,40h lea edi,[ebp-40h] mov ecx,10h mov eax,0CCCCCCCCh rep stos dword ptr [edi] 这里用VC6.0是最好的,更能看出本质,VS系列也可以,VS的话
vc中常用的方法
痞子龙3D编程
02-04 1655
vc中常用的方法   一、打开CD-ROM mciSendString("Set cdAudio door open wait",NULL,0,NULL); 二、关闭CD_ROM mciSendString("Set cdAudio door closed wait",NULL,0,NULL); 三、关闭计算机 OSVERSIONINFO OsVersionInfo; //包含操作系统版本信息的数
启动函数
lijun19731230的专栏
02-05 477
<br />在编写Win32应用程序时,都必须在源码里实现一个WinMain函数。但Windows程序执行并不是从WinMain函数开始的,首先被执行的是启动函数相关代码,这段代码是编译器生成的。启动代码完成初始化进程,再调用WinMain。标准编译器通常包含启动代码在内的库文件源码,例如Visual C++中,启动代码存放在CRT/SRC/crt0.c文件中。<br />所有的C/C++运行时启动函数的作用基本都是相同的:检索指向新进程的命令行指针,检索指向新进程的环境变量指针,全局变量初始化,内存堆栈初
VC++ 编程实现开机自启动
乐观开朗,积极向上
10-27 715
http://blog.youkuaiyun.com/wangwenjing90/article/details/8720529# http://jingyan.baidu.com/article/86fae346b702603c49121a9c.html 编写步骤: 通过修改注册表实现开机自启动,过程如下: 1、定义注册表项HKEY heky; 2、通过RegOpenKeyEx
简单反汇编分析
、moddemod
03-06 1056
程序很简单,就一个printf函数,通过分析我们主要明白大致的反汇编流程,感性认识一下栈的空间布局。 #include<stdio.h> int main() { printf("hello,world"); return 0; } cl hello.c /Fa hello.asm /Fa表示生成汇编列表文件 TITLE C:\moddemod\demo\c\re\hello.cpp .686P .XMM include listing.inc .model flat INCL
汇编语言_探索C语言的main函数入口地址
weixin_43916755的博客
11-20 3051
探索C语言的main()函数入口地址,首先要编译连接。 在xp系统中,如下操作: ** 按f3,test.c文件的路径,将test.c中的源代码读入到tc.exe中; 接着,按下f10,将option中的directory全部删掉,如下图所示; 进入链接阶段:在compile中,选择link exe开始链接,如下图所示,这一步需要很多.obj文件,放入相同的路径下。 最后成功生成test.exe文件 编译一个程序需要前人写好的很多文件,如下图所示,最终才能生成.exe文件。 现在,寻找Main
DllMain——DLL程序入口函数
Quellaaa的博客
11-12 3526
DLL程序入口函数:DllMain。注意:大小写是区别的 仅导出资源的DLL可以没有DllMain函数函数原型: // dllmain.cpp : Defines the entry point for the DLL application. #include "stdafx.h" BOOL APIENTRY DllMain( HMODULE hModule, ...
C++反汇编与逆向分析技术揭秘》阅读笔记——第三章 认识启动函数找到用户入口
weixin_45325928的博客
11-28 366
第三章 认识启动函数找到用户入口 第三章主要讲解了程序的启动函数和找main函数的方法,对于在逆向过程中定位函数入口点有很大帮助。 3.1 程序真正的入口 VC++开发的程序在调试时总是从main和WinMain函数开始,这容易令人误以它们是程序的第一条指令执行处。但其实main和WinMain也需要被调用,所以它们并不是“应用程序入口”,而是“语法规定的用户入口”。在应用程序加载时,操作系统会...
汇编函数调用
sherlly666的博客
09-14 2429
首先介绍几个名词: 栈帧:也叫过程活动记录,是编译器用来实现过程/函数调用的一种数据结构。栈帧中保存了该函数的返回地址和局部变量。 寄存器:CPU内部用来存放数据的一些小型存储区域,用来暂时存放参与运算的数据和运算结果。常用的寄存器有: ESP:栈指针寄存器(extended stack pointer),其内存放着一个指针,该指针永远指向系统栈最上面一个栈帧的栈顶。 EBP:基址指针寄存器
汇编指令 定义一个函数入口的宏的解释
wangbinyantai的专栏
01-07 1973
经常,我们在看代码的时候对一些汇编的directives不明白。那么以下面为例, #define FUNCTION_THUMB_ENTRY(name) \   .thumb; \   .thumb_func; \   .align 2; \   .globl name; \   .type name, %function; \   name: The .thum
C++反汇编函数调用与EIP修改实践
"这篇内容主要讨论了C++代码的反汇编分析,特别是关于函数调用的过程以及如何在运行时动态改变程序流程,通过修改EIP寄存器来实现‘偷调函数’的功能。文中以一个简单的MyAdd函数调用为例,展示了反汇编后的代码,并...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值