主要几种编程语言的OEP特征段

最新推荐文章于 2025-02-13 19:54:35 发布
最新推荐文章于 2025-02-13 19:54:35 发布
阅读量1.3k 收藏
点赞数
分类专栏: 调试 文章标签: 编程 语言 c borland 汇编 byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cdsntxz158/article/details/7998778
版权
以下是主要几种编程语言的OEP特征段:
Borland C++
0040163C B> /EB 10             jmp short Borland_.0040164E
0040163E    |66:623A           bound di,dword ptr ds:[edx]   
00401641    |43                inc ebx  
00401642    |2B2B              sub ebp,dword ptr ds:[ebx]  
00401644    |48                dec eax
00401645    |4F                dec edi   
00401646    |4F                dec edi  
00401647    |4B                dec ebx   
00401648    |90                nop   
00401649   -|E9 98E04E00       jmp SHELL32.008EF6E6   
0040164E    \A1 8BE04E00       mov eax,dword ptr ds:[4EE08B]
00401653     C1E0 02           shl eax,2   
00401656     A3 8FE04E00       mov dword ptr ds:[4EE08F],eax   
0040165B     52                push edx   
0040165C     6A 00             push 0   
0040165E     E8 DFBC0E00       call <jmp.&KERNEL32.GetModuleHandleA>

*********************************************************************************   
Delphi  
  
00458650 D>  55                push ebp
00458651     8BEC              mov ebp,esp   
00458653     83C4 F0           add esp,-10  
00458656     B8 70844500       mov eax,Delphi.00458470
0045865B     E8 00D6FAFF       call Delphi.00405C60   
00458660     A1 58A14500       mov eax,dword ptr ds:[45A158]   
00458665     8B00              mov eax,dword ptr ds:[eax]  
00458667     E8 E0E1FFFF       call Delphi.0045684C   
0045866C     A1 58A14500       mov eax,dword ptr ds:[45A158]  
00458671     8B00              mov eax,dword ptr ds:[eax]   
00458673     BA B0864500       mov edx,Delphi.004586B0   
00458678     E8 DFDDFFFF       call Delphi.0045645C   
0045867D     8B0D 48A24500     mov ecx,dword ptr ds:[45A248]            ; Delphi.0045BC00   
00458683     A1 58A14500       mov eax,dword ptr ds:[45A158]  
00458688     8B00              mov eax,dword ptr ds:[eax]  
0045868A     8B15 EC7D4500     mov edx,dword ptr ds:[457DEC]            ; Delphi.00457E38   
00458690     E8 CFE1FFFF       call Delphi.00456864   
00458695     A1 58A14500       mov eax,dword ptr ds:[45A158]   
0045869A     8B00              mov eax,dword ptr ds:[eax]   
0045869C     E8 43E2FFFF       call Delphi.004568E4
*********************************************************************************
Visual C++ 6.0
  
0046C07B U>  55                push ebp   
0046C07C     8BEC              mov ebp,esp   
0046C07E     6A FF             push   
0046C080     68 18064C00       push UltraSna.004C0618   
0046C085     68 F8364700       push UltraSna.004736F8   
0046C08A     64:A1 00000000    mov eax,dword ptr fs:[0]   
0046C090     50                push eax   
0046C091     64:8925 00000000  mov dword ptr fs:[0],esp   
0046C098     83EC 58           sub esp,58   
0046C09B     53                push ebx   
0046C09C     56                push esi  
0046C09D     57                push edi  
0046C09E     8965 E8           mov dword ptr ss:[ebp-18],esp  
0046C0A1     FF15 74824A00     call dword ptr ds:[<&KERNEL32.GetVersion>]  ; kernel32.GetVersion
0046C0A7     33D2              xor edx,edx   
0046C0A9     8AD4              mov dl,ah   
0046C0AB     8915 403F4F00     mov dword ptr ds:[4F3F40],edx   
0046C0B1     8BC8              mov ecx,eax   
0046C0B3     81E1 FF000000     and ecx,0FF ^  
0046C0B9     890D 3C3F4F00     mov dword ptr ds:[4F3F3C],ecx  
  
*********************************************************************************
Visual C++ 7.0

0100739D > $  6A 70         push 0x70   
0100739F   .  68 98180001   push NOTEPAD.01001898   
010073A4   .  E8 BF010000   call NOTEPAD.01007568  
010073A9   .  33DB          xor ebx,ebx  
*********************************************************************************
汇编

00401000 汇>  6A 00            push 0   
00401002     E8 C50A0000       call <jmp.&KERNEL32.GetModuleHandleA>  
00401007     A3 0C354000       mov dword ptr ds:[40350C],eax  
0040100C     E8 B50A0000       call <jmp.&KERNEL32.GetCommandLineA>   
00401011     A3 10354000       mov dword ptr ds:[403510],eax   
00401016     6A 0A             push 0A   
00401018     FF35 10354000     push dword ptr ds:[403510]   
0040101E     6A 00             push 0  
00401020     FF35 0C354000     push dword ptr ds:[40350C]
00401026     E8 06000000       call 汇编.00401031
0040102B     50                push eax   
0040102C     E8 8F0A0000       call <jmp.&KERNEL32.ExitProcess>  
00401031     55                push ebp  
00401032     8BEC              mov ebp,esp   
00401034     83C4 B0           add esp,-50   
00401037     C745 D0 30000000  mov dword ptr ss:[ebp-30],30
0040103E     C745 D4 0B000000  mov dword ptr ss:[ebp-2C],0B
00401045     C745 D8 37114000  mov dword ptr ss:[ebp-28],汇编.00401137
*********************************************************************************
VB


0040116C V>/$  68 147C4000     push VB.00407C14
00401171   |.  E8 F0FFFFFF     call <jmp.&MSVBVM60.#100>   
00401176   |.  0000            add byte ptr ds:[eax],al  
00401178   |.  0000            add byte ptr ds:[eax],al   
0040117A   |.  0000            add byte ptr ds:[eax],al
0040117C   |.  3000            xor byte ptr ds:[eax],al
主流语言在OD下OEP特征
weixin_43916678的博客
07-15 619
对于不同语言所编写的程序,它们反汇编之后,OEP都有不同的特征,接下来让我们掌握一些主流语言所编写的程序在OllyDbg下进行反汇编之后的OEP特征。 VC++: VB: BC++: Delphi: 易语言: MASM32 / TASM32入口: VC8入口: 所以,这也就从侧面说明了,在我们拿到文件之后,使用peid去查文件,来判断它是用何种语言编写的重要性。 在我们今后的逆向...
OEP入口的特征
kedebug
01-07 3427
OEP入口的特征 入口特征............Microsoft Visual C++ 6.0push    ebpmov     ebp, esppush    -1push    004C0618push    004736F8    mov     eax, dword ptr fs:[0]push    eaxmov     dword ptr fs:[0], espsub    
OEP大全,快速查看不同编译语言编写的程序的OEP特征工具
01-16
快速查看不同编译语言编写的程序的OEP特征工具,就像字典一样,需要哪个查哪个。点击编译语言按钮,就会出来相应的OEP特征
OEP特征
RokrJyy的博客
01-18 722
VC2012,2013 Release oep特征  E8????????E9????????3B0D VC2012,2013 Release 第一个CALL内的特征 3145FC8D45EC50FF15????????8B4DF0 Delphi7 OEP特征 5个CALL 5个CALL之后 几乎全0 第一个CALL内有GetMouduleHandleA的调用 5
探索 OEP 完整分析法:原理、代码示例与实践应用
最新发布
m0_57836225的博客
02-13 805
寻找 OEP 是程序分析领域中一项基础而重要的技能。通过静态分析方法(如解析 PE 文件结构、使用反汇编工具)和动态分析方法(如调试器调试、系统监控工具分析)相结合,可以准确地找到程序的入口点。在实际应用中,无论是软件逆向工程、恶意软件分析还是程序性能优化等方面,OEP 完整分析法都发挥着关键作用。希望本文介绍的内容能够帮助大家更好地理解和应用 OEP 分析法,在程序分析的道路上迈出坚实的一步。
各种语言入口特征笔记
weixin_30375247的博客
09-29 467
认识各语言的入口特征及加壳后的识别判断,及加密与压缩壳识别 C++ 00408027 >/$ 55 push ebp 00408028 |. 8BEC mov ebp,esp 0040802A |. 6A FF push -0x1 0040802C |. 68 F0F14000 ...
掌握程序OEP特征与实例分析
本文档将总结几种常见程序语言特征,以及它们在实际应用中的表现。此外,文档还提到了在Visual Studio 2017和Visual Studio 2019环境下开发的不同版本(Debug、Release)的控制台程序和MFC程序的OEP(入口点)特征...
常见寻找OEP的方法
03-25
本文将详细介绍几种常用的寻找OEP的方法,并通过具体的步骤指导读者如何在实际操作中应用这些技巧。 #### 一、使用OllyDBG进行调试 OllyDBG是一款功能强大的调试工具,广泛应用于软件逆向分析领域。通过以下步骤...
WeatherLayers:OEP III。 Beadandó-Kis Gergely Domonkos(VMT982)
02-19
这个项目主要基于C++语言,旨在创建一个能够处理和展示气象数据的软件系统。通过深入理解C++的特性和高级编程技巧,开发者构建了一个强大的工具,用于解析、存储和可视化气象图层数据。 在C++的世界里,...
VMP壳脱壳技术:实用脚本快速定位OEP指南
压缩包子文件的文件名称列表包含了几个具体的脚本文件名,其中包含了对VMProtect反逆向工程特征的描述,如“anti-Dump”和“API修复”。"anti-Dump"指的是防止程序被转储(Dump)到内存中的反逆向工程技术;而“API...
VB的OEP特征
谢绝(无视)留言与私信
02-03 865
前言看到一个小工具, 用来查一个指定壳. 主要是size很小, 只有9KB. 想逆向练习下, 这么小, 一定是没壳的, 拖进IDA, 一个函数都没有, 才知道加了壳. 用PEID, Die,RDG查壳, 都指出是UPX. 载入OD, ESP定律, F9后, 直接停在jmp xx, 再F8, 到了OEP.记录00401074 68 F41B4000 push
程序OEP入口特征
12-27
常用程序OEP入口特征
逆向集录_00_不同程序OEP特征总结
weixin_30518397的博客
04-06 255
在分析/逆向 程序时,如果事先知道这类程序的一些特征,那将会是事半功倍的; 分析/逆向 程序,和写程序不同,比喻的话:写程序像在作案,分析/逆向 程序就像是在破案,对破案来讲,重在假想和推理; 特征1:VC链接器版本 VS版本 链接器版本 VS2017 14.12 VS2015 14.0, 14.1 VS2013 12.0 ...
逆向总结(2)--OEP特征码总结
oBuYiSeng的博客
12-28 2302
常见的OEP特征码(??代码代表一个字节,取值为任意) VS2012、VS2013 Release OEP特征 E8????????E9????????3B0D VS2012、VS2013 Release 第一个CALL内的特征 含有4个call 3145FC8D45EC50FF15????????8B4DF0 Delphi7 OEP特征 含有5个call,5个ca
常见程序入口点(OEP特征
要不,单步调试走起?
11-12 3637
转自:http://www.21arm.com/forum.php?mod=viewthread&tid=691&extra=page%3D1 ============================我是转载的分割线=================================== delphi:   55            PUSH EBP   8BEC
各种语言OEP汇总
ccx_john的专栏
01-07 2527
Borland C++ 0040163C B> /EB 10             jmp short Borland_.0040164E 0040163E     |66:623A           bound di,dword ptr ds:[edx] 00401641     |43                 inc ebx 00401642     |2B2B      
UPX快速定位OEP
fa1c4的blog
03-04 434
两种技巧 都是基于PUSHAD/POPAD的指令特点. 朴素跟踪一遍解压缩过程, 可以发现EP代码都是在PUSHAD/POPAD指令之间, 所以解压完之后跳转到OEP的这一短暂过程就发生在POPAD和JMP指令之间. 基本思想就是断点到POPAD之后. 一 在POPAD指令之后的JMP指令处下断点, 执行就完成了解压过程, 再跟进就是OEP 可能会有多个POPAD指令, 一条条找下来发现其后接JMP的那一条大概率就是 跟进之后验证知道OEP是0100739D. 二 在PUSHAD命令后查看栈, 可以看到
不同语言程序的特征
Winter_Zero的博客
12-28 814
不同opCode,Call的作用是不同的。 E8 Call Offset(调用普通函数)(VS) FF 15 Call Dword ptr [ 地址 ] (调用IAT)(VS) 如何确定目标程序的语言? 1.OEP特征 2.链接器版本 3.区信息 Borland C++程序 ( BC++ ) 1.OEP特征 OEP是一个短跳转,之后是一个字符串:fb:C++Hook 第一个调用的函数:GetM...
新手必须懂得什么叫OEP,以及查找的常用方式软件破解什么是oep?
要不,单步调试走起?
11-16 5926
转自: S.l.e!ep.¢% - C++博客 ============================== 新手必须懂得什么叫OEP,以及查找的常用方式软件破解什么是oep? original entry point 原始入口点 常见脱壳知识:1.PUSHAD (压栈) 代表程序的入口点  2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值