几种程序语言入口点特征

最新推荐文章于 2020-04-16 20:42:18 发布
最新推荐文章于 2020-04-16 20:42:18 发布
阅读量653 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Hack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kong62/article/details/10513869
本文详细解析了Microsoft Visual C++、Microsoft Visual Basic、BC++、Borland Delphi、易语言及Microsoft Visual C++ Overlay下E语言的脱壳入口代码,包括其关键指令和流程,为深入理解不同编程语言的脱壳机制提供了宝贵的洞察。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

网上看到的一篇文章,有助于脱壳学习,就转载过来了,也没找到文章出处,不知如何标明了。

Microsoft Visual C++ 6.0

00496EB8 >/$   55       PUSH EBP                      (初始 cpu 选择)
00496EB9  |.   8BEC     MOV EBP,ESP
00496EBB  |.   6A FF     PUSH -1
00496EBD  |.   68 40375600 PUSHScreensh.00563740
00496EC2  |.   68 8CC74900 PUSHScreensh.0049C78C             SE 处理程序安装
00496EC7  |.   64:A10000000>MOV EAX,DWORD PTR FS:[0]
00496ECD  |.   50       PUSH EAX
00496ECE  |.   64:892500000>MOV DWORD PTR FS:[0],ESP
00496ED5  |.   83EC 58   SUB ESP,58
---------------------------------------------------------------------------------------
Microsoft Visual Basic 5.0 / 6.0

00401166   - FF25 6C104000 JMPDWORD PTRDS:[<&MSVBVM60.#100>]   ; MSVBVM60.ThunRTMain
0040116C >   68147C4000    PUSH PACKME.00407C14
00401171 E8 F0FFFFFF    CALL<JMP.&MSVBVM60.#100>
00401176 0000        ADD BYTE PTR DS:[EAX],AL
00401178 0000        ADD BYTE PTR DS:[EAX],AL
0040117A 0000        ADD BYTE PTR DS:[EAX],AL
0040117C 3000        XOR BYTE PTR DS:[EAX],AL

或省略第一行的JMP

00401FBC >   68D0D44000       pushdumped_.0040D4D0
00401FC1 E8 EEFFFFFF       call<jmp.&msvbvm60.ThunRTMain>
00401FC6 0000          add byte ptr ds:[eax],al
00401FC8 0000          add byte ptr ds:[eax],al
00401FCA 0000          add byte ptr ds:[eax],al
00401FCC 3000          xor byte ptr ds:[eax],al
00401FCE 0000          add byte ptr ds:[eax],al
----------------------------------------------------------------------
BC++

0040163C > $ /EB 10     JMP SHORTBCLOCK.0040164E
0040163E     |66       DB 66                        CHAR 'f'
0040163F     |62       DB 62                        CHAR 'b'
00401640     |3A       DB 3A                        CHAR ':'
00401641     |43       DB 43                        CHAR 'C'
00401642     |2B       DB 2B                        CHAR '+'
00401643     |2B       DB 2B                        CHAR '+'
00401644     |48       DB 48                        CHAR 'H'
00401645     |4F       DB 4F                        CHAR 'O'
00401646     |4F       DB 4F                        CHAR 'O'
00401647     |4B       DB 4B                        CHAR 'K'
00401648     |90       NOP
00401649     |E9       DB E9
0040164A . |98E04E00    DD OFFSETBCLOCK.___CPPdebugHook
0040164E > \A1 8BE04E00 MOV EAX,DWORD PTRDS:[4EE08B]
00401653 .   C1E0 02   SHL EAX,2
00401656 .   A3 8FE04E00 MOVDWORD PTR DS:[4EE08F],EAX
0040165B .   52       PUSH EDX
0040165C .   6A 00     PUSH 0                        ; /pModule =NULL
0040165E .   E8 DFBC0E00 CALL<JMP.&KERNEL32.GetModuleHandleA>; \GetModuleHandleA
00401663 .   8BD0     MOV EDX,EAX
-----------------------------------------------------------------------------------------------
Borland Delphi 6.0 - 7.0

00509CB0 > $   55       PUSH EBP
00509CB1 .   8BEC     MOV EBP,ESP
00509CB3 .   83C4 EC   ADD ESP,-14
00509CB6 .   53       PUSH EBX
00509CB7 .   56       PUSH ESI
00509CB8 .   57       PUSH EDI
00509CB9 .   33C0     XOR EAX,EAX
00509CBB .   8945 EC   MOV DWORD PTRSS:[EBP-14],EAX
00509CBE .   B8 20975000 MOVEAX,unpack.00509720
00509CC3 .   E8 84CCEFFF CALLunpack.0040694C
-----------------------------------------------------------------------------------------------
易语言入口
00401000 >   E806000000    call dump_.0040100B
00401005 50           pusheax
00401006 E8 BB010000    call<jmp.&KERNEL32.ExitProcess>
0040100B 55           pushebp
0040100C 8BEC        mov ebp,esp
0040100E 81C4 F0FEFFFF add esp,-110
00401014 E9 83000000    jmpdump_.0040109C
00401019 6B72 6E 6C    imulesi,dword ptr ds:[edx+6E],6C
0040101D 6E           outs dx,byteptr es:[edi]


也可能是这样的入口
Microsoft Visual C++ 6.0 [Overlay] E语言

00403831 >/$   55       PUSH EBP
00403832  |.   8BEC     MOV EBP,ESP
00403834  |.   6A FF     PUSH -1
00403836  |.   68 F0624000 PUSHNisy521.004062F0
0040383B  |.   68 A44C4000 PUSHNisy521.00404CA4                SE 处理程序安装
00403840  |.   64:A10000000>MOV EAX,DWORD PTR FS:[0]
00403846  |.   50       PUSH EAX
00403847  |.   64:892500000>MOV DWORD PTR FS:[0],ESP
-------------------------------------------------------------------
MASM32 / TASM32入口

00401258 >/$   6A00      push 0                        ; /pModule =NULL
0040125A  |.   E8 47000000 call<jmp.&kernel32.GetModuleHandleA>; \GetModuleHandleA
0040125F  |.   A3 00304000 mov dword ptrds:[403000],eax
00401264  |.   6A 00     push 0                        ; /lParam =NULL
00401266  |.   68 DF104000 pushdump.004010DF                 ; |DlgProc =dump.004010DF
0040126B  |.   6A 00     push 0                        ; |hOwner =NULL
0040126D  |.   6A 65     push 65                     ; |pTemplate = 65
0040126F  |.   FF35 00304000 push dword ptrds:[403000]          ; |hInst = NULL
00401275  |.   E8 56000000 call<jmp.&user32.DialogBoxParamA>   ; \DialogBoxParamA-

5种常用程序入口特征
09-15
5种常用程序入口特征 C++ (Microsoft Visual C++ 6.0) Delphi (Borland Delphi 6.0 - 7.0) VB (Microsoft Visual Basic 5.0 / 6.0) BC++ (Borland C++ 1999) E语音 这个和C极度像,要分清 Dasm:汇编
程序OEP入口特征
12-27
常用程序OEP入口特征
一些程序OEP入口特征
weixin_30597269的博客
10-19 148
声明: 1.本文中使用的例子来源于吾爱破解的官方教程第一课中的无壳例子,本人利用空闲时间挨个进行查看并截图纪录下来 2.欢迎补充讨论 一些程序OEP入口特征 一、 AMS程序 1.载入PEID 2.载入OD 二、 AutoIt_v3程序 1.载入PEID 2.载入OD ...
各种编程语言入口点特征
yzzd的csdn博客
07-30 1201
 Microsoft Visual C++ 6.0<br /><br />00496EB8 >/$   55          PUSH EBP                               ;   (初始 cpu 选择)<br />00496EB9   |.   8BEC       MOV EBP,ESP<br />00496EBB   |.   6A FF       PUSH -1<br />00496EBD   |.   68 40375600 PUSH Screensh.00563
几种程序的反汇编代码入口特征
keilsi的专栏
11-21 3081
<br /><br />一.Borland Delphi 6.0 - 7.0<br />004029BC > $  55                PUSH EBP<br />004029BD   .  8BEC              MOV EBP,ESP<br />004029BF   .  83C4 F0          ADD ESP,-10<br />004029C2   .  53                PUSH EBX<br />004029C3   .  B8
常见语言入口代码
07-26
本文将深入探讨几种常见的编程语言——Borland Delphi、Microsoft Visual C++、Microsoft Visual C++(Overlay)、Microsoft Visual Basic 5.0/6.0以及BC++的入口代码结构及其功能。 1. Borland Delphi 6.0 - 7.0...
各语言按钮事件特征码
02-27
本文将详细介绍几种常见编程语言编译生成的程序在处理按钮击事件时所表现出的特征码,并解释其含义及用途。 #### 二、特征码的概念 特征码是反汇编或逆向过程中用来快速定位特定功能或行为的一种方式。通过搜索...
西门子S7-SCL+结构化控制语言编程.rar
06-21
西门子S7-SCL(Structured Control Language)是一种高级编程语言,用于西门子PLC(可编程逻辑控制器)系统,特别是SIMATIC S7系列。SCL是IEC 61131-3标准的一部分,它允许程序员使用类似于C或PASCAL的结构化编程...
Java零基础 - 计算机编程语言发展史.md
08-11
- `public static void main(String[] args)`:这是Java程序入口,`main`方法必须是`public static`的,且返回类型为`void`。 - `System.out.println("Hello World!");`:打印字符串到标准输出流,通常为...
程序设计语言基础JAVAWEB_Java编程语言基础[2025网盘版.备考复习].pptx
最新发布
04-22
Java编程语言作为面向对象的编程语言,具有分布式、多线程、安全及丰富的API等特征,并且支持跨平台移植,实现了"一次编写,到处运行"的理念。最初由James Gosling等成员组成的Green Team开发,原名为Oak,后因适合...
各种常见程序特征
qq_42205120的博客
04-16 1215
VB: push call <jmp.&MSVBVM6.0.#100> VC/E语言 离OEP不远处有SUB ESP,0X58 第一个CALL 调用为GetVersion VS: .release call jmp .debug 先jmp jmp后: push ebp mov ebp,esp call call pop BC++: oep处有一个短跳,后面有一个字符串 f...
不同语言编译程序入口总结
yusakul的博客
07-25 617
BC++程序特征 1. OEP特征 二进制特征:EB 10 66 62 3A 43 2B 2B 48 4F 4F 4B 90 第一个API调用:GetModuleHandlA API调用IAT时,采用模式是FF25 2.区段名称 区段分类较细 3.链接器版本 5.0 Delphi程序特征 1.OEP特征...
常见程序入口(OEP)特征
banhanjun1518的博客
07-05 453
delphi: 55 PUSH EBP 8BEC MOV EBP,ESP 83C4 F0 ADD ESP,-10 B8 A86F4B00 MOV EAX,PE.004B6FA8 vc++ 55 PUSH EBP 8BEC MOV EBP,ESP 83EC 44...
花指令
程序人生,学海无涯
11-14 1870
花指令是程序中有一些指令,由设计者特别构思,希望使反汇编的时候出错,让破解者无法清楚正确地反汇编程序的内容,迷失方向。经典的是一些跳转指令,目标位置是另一条指令的中间,这样在反汇编的时候便会出现混乱。花指令有可能利用各种指令:jmp, call, ret的一些堆栈技巧,位置运算,等等。     【深层】伪装 PEtite 2.2 -> Ian Luck 汇编代码: ==========
常见程序入口点特征
AlexSmoker的博客
02-22 2472
#Delphi入口程序 Delphi开头的入口程序是正常的压栈,然后调用一个E8字节类型的call 0044CA98 > $ 55 push ebp 0044CA99 . 8BEC mov ebp,esp 0044CA9B . 83C4 F0 add esp,-0x10 0044CA9E . B8 B8C84400 mov eax,delphi7?0044C8B8 ; UNICODE “;...
各语言的入口特征。。
独步清风
12-03 3985
C++入口特征 00408027 >/$ 55             push ebp 00408028  |.  8BEC          mov ebp,esp 0040802A  |.  6A FF         push -0x1 0040802C  |.  68 F0F14000   push C++.0040F1F0 00408031  |.  68 84AF400
各个语言的入口特征和区段特征
c1561322601的博客
07-21 2138
判断程序是使用什么语言写的:主要查看区段和入口特征 VC6入口特征 几个api基本不变 区段特征 四个区段 .text 代码段  .rdata 导入表 .data 数据段 .rsrc 资源段 VS2008/2013入口特征 第一个call进去 ,几个固定的api 区段特征 五个区段 .text 代码段  .rd
VC++ 入口特征
blrk
09-16 994
*********** Stolen Code push ebp mov ebp,esp push -1 push 49A4A8 push 4363B8 mov eax,dword ptr fs:[0] push eax mov dword ptr fs:[0],esp sub esp,58 push ebx push esi push edi           m
不同操作系统下的程序入口分析
08-22 989
转自 http://hi.baidu.com/liu_bin0101/blog/item/03e3a9ec4e0fd5d72e2e21b9.html 程序入口编译器没有什么关系, 关键是链接链接器(UNIX的用的ld和WINDOWS下用的LINK.EXE) ld 用参数
程序入口代码解析:从Borland Delphi到Microsoft Visual Basic
"本文将深入探讨不同编程语言的入口代码,主要关注Borland Delphi 6.0-7.0、Microsoft Visual C++ 6.0以及Microsoft Visual Basic 5.0/6.0的程序启动逻辑。这些入口代码是程序执行的第一步,它们负责初始化环境...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值