反汇编 c++/c 确定main函数的位置

最新推荐文章于 2025-06-03 10:01:20 发布
最新推荐文章于 2025-06-03 10:01:20 发布
阅读量6.1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: assemble 汇编与c++ 文章标签: 反汇编 od
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bugmeout/article/details/45394889
本文深入解析了使用OD工具定位main函数在程序加载过程中的位置,包括控制台程序和Windows应用程序的不同识别方式及跳转方法。通过理解和跳过初始化函数,可以直接定位到main函数,为开发者提供了一种快速简便的方法来查找main函数位置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

用OD加载文件的时候,不会停留在main函数上,如何确定main 的位置,这就需要对程序加载过程有个了解。
使用IDA就可以准确定位main 函数的起始位置。

控制台部分识别

console beta
void __cdecl start()
{
  DWORD v0; // eax@1
  int v1; // eax@4

  v0 = GetVersion();
  dword_4101A4 = BYTE1(v0);
  dword_4101A0 = v0;
  dword_41019C = BYTE1(v0) + (v0 << 8);
  dword_410198 = v0 >> 16;
  if ( !sub_4068EE(0) )
    fast_error_exit(0x1Cu);
  _ioinit();
  dword_411704 = *GetCommandLineA*();
  dword_41017C = __crtGetEnvironmentStringsA();
  _setargv();
  _setenvp();
  _cinit();
  dword_4101B8 = envp;
  v1 = main(argc, argv, envp);
  exit(v1);
}

可以看到,main函数开始之前,有很多的初始化工作。OD不会全部识别,唯一可以识别的函数是GetCommandLine,在此函数执行之后,一般要再次调用4个函数__crtGetEnviromentStrings、setargv、setenvp、cinit,此后才会执行main 函数。
MAIN函数确定
因此,只要在GetCommandLine后跳过4个函数,一般就可以到达main 函数的位置。

如果你不想使用IDA加载程序来获得main函数位置,使用此方法可以快速找到main函数。是不是跳过4个,一般而言与编译器有很大的关系,所以,此方法只能算作经验积累。

window应用程序识别

windows程序常用start代码
void __cdecl start()
{
  DWORD v0; // eax@1
  signed int v1; // eax@4
  HMODULE v2; // eax@7
  int v3; // eax@7
  int v4; // [sp-4h] [bp-78h]@6
  CHAR *lpCmdLine; // [sp+10h] [bp-64h]@3
  struct _STARTUPINFOA StartupInfo; // [sp+18h] [bp-5Ch]@3
  CPPEH_RECORD ms_exc; // [sp+5Ch] [bp-18h]@3

  v0 = GetVersion();
  dword_405528 = BYTE1(v0);
  dword_405524 = (unsigned __int8)v0;
  dword_405520 = BYTE1(v0) + ((unsigned __int8)v0 << 8);
  dword_40551C = v0 >> 16;
  if ( !_heap_init(0) )
    fast_error_exit(0x1Cu);
  ms_exc.registration.TryLevel = 0;
  _ioinit();
  dword_405A18 = (int)GetCommandLineA();
  dword_405504 = (void *)__crtGetEnvironmentStringsA();
  _setargv();
  _setenvp();
  _cinit();
  StartupInfo.dwFlags = 0;
  GetStartupInfoA(&StartupInfo);
  lpCmdLine = (CHAR *)_wincmdln();
  if ( StartupInfo.dwFlags & 1 )
    v1 = StartupInfo.wShowWindow;
  else
    v1 = 10;
  v4 = v1;
  v2 = GetModuleHandleA(NULL);
  v3 = WinMain(v2, NULL, lpCmdLine, v4);
  exit(v3);
}

可以看到,windows应用程序比控制台程序又多了GetStartupInfo,GetModuleHandle ,所以此时就应该跳过6个。
windows窗口程序

好在OD可以识别GetModuleHandle ,所以在此函数之后,就是winmain 函数。当然,从压入的4个参数也能够看出来。

C/C++程序员为什么要了解汇编?了解汇编有哪些好处?如何学习汇编?
dvlinker的技术专栏
10-09 14万+
本文详细讲解了C++程序员为什么要了解汇编,了解汇编都有哪些具体的好处,如何学习汇编,以及如何看懂汇编代码上下文等,希望能给大家提供一定的借鉴或参考。
[系统安全]反汇编-函数调用约定、Main函数查找
2401_88858891的博客
11-18 892
fun_b()函数是fastcall调用,参数是由ECX与EDX这两个寄存器完成的,超出部分的参数依然采用压栈方式传递。C++使用naked标识创建的裸函数将不包含任何用户代码以外的指令,即便是函数末尾的retn也要用户自己来实现。并不是所有的函数都只有用call指令才能调用,使用lea、push加jmp的组合也可以达到相同的目的。fun_a()函数是cdecl调用,所以没有堆栈平衡,由调用者main()函数进行堆栈平衡。main()函数其实是有3个参数的,这取决于Windows系统的机制。
[系统安全10]反汇编-函数调用约定、Main函数查找
17bdw的编程备份笔记
10-14 119
0x1 准备工作 1.1、准备工具 IDA:交互式反汇编工具 OllyDbg:用户层调试工具 Visual Studio:微软开发工具 1.2、基础知识 C++开发 汇编语言 0x2 查找真正的main()函数 入口点开始到Main()函数之间的代码都是编译器加进去用于初始化环境用的。 main()函数其实是有3个参数的,这取决于Windows系统的机制。 查找方法: 1、字符串...
C++ main函数
大斌哥的博客
01-17 1088
C++中main函数一般格式是:int main(int argc, char *argv[]),其中argc 表示的是argument count  表示参数的个数,argv 表示的是argument vector表示参数的向量。 argv[0]:保存的是程序生成的exe的位置。 http://blog.youkuaiyun.com/dcrmg/article/details/51987413
从0到1,带你走进Flink的世界
最新发布
£菜鸟也有梦的博客
06-03 1934
本文系统介绍了Apache Flink流处理框架的核心概念和应用场景。首先阐述了Flink作为分布式流处理框架的特点,能够同时处理有界和无界数据流。其次详细解析了Flink的分层架构设计,包括API层、执行引擎层和资源层,并深入讲解了JobManager和TaskManager两大核心组件的工作原理。文章重点探讨了Flink的五大核心概念:数据流与数据集、转换操作、窗口机制、时间语义以及状态与检查点机制,通过电商、金融等实际案例说明其应用价值。
查找main函数
SMOne
06-26 2361
一、说明 1.使用环境 寻找main函数的主要目的,还是寻找用户代码,所以通常只用在控制台程序和SDK程序。 其他界面程序会使用各种界面库,即便找到main函数,里面也是一堆非用户编写代码,没有任何意义。 2.调用方式会影响代码特征 VS默认调用约定_cdecl,堆栈传参,所以传参的代码是PUSH * 如果是其他CALL,会用到寄存器传参和堆栈传参,代码是会发生变化的 二、查找mai...
c语言主函数位置及其作用是什么意思,c语言中main函数位置是什么?
weixin_29433715的博客
05-16 6276
在c语言中,main函数可以放在任意位置。在执行一个c语言编写的程序时,main函数就相当于是执行程序的入口。只要是没有语法和逻辑上的错误,main函数可以放在任意位置main函数,又称主函数,是C程序的入口函数,即程序的执行是从main函数开始,对其他函数的调动也是直接或间接地在main函数中被调用。那么main函数又是被谁调用呢?答案是操作系统。C语言发展至今,对main函数有多种不同的写法...
c语言主函数位置及其作用是什么意思,C语言程序中,main函数位置()。
weixin_35032861的博客
05-16 242
根据以下材料,回答下列各题: Questions 62 to 66 are based on the following passage.??????? Researchers in the field of psychology have found that one of the best ways to make an important decision, such as choosing...
C/C++程序main函数的编译和链接原理详解
这种翻译过程是静态的,即只是从反汇编出的机器码角度来看C/C++程序员视界之外的部分。 在这个过程中,链接器会将对象文件和库文件连接起来,生成最终的可执行文件。链接器会添加头和尾,以建立main函数的环境。...
【逆向工程】C/C++的反汇编表示详解(1)函数调用,栈平衡,变量与参数的内存布局
L2510408497的博客
07-06 4397
很多人学完汇编,去看C/C++的反汇编就会很懵,发现单独看一条指令看的明明白白,但连在多条指令连在一起就不知道有什么作用了,如 push ebp mov ebp,esp sub esp,40h lea edi,[ebp-40h] mov ecx,10h mov eax,0CCCCCCCCh rep stos dword ptr [edi] 这里用VC6.0是最好的,更能看出本质,VS系列也可以,VS的话
C++的函数重载、函数名修饰规则、从汇编指令的角度解析C语言的函数查找机制、函数签名 (重要)
m0_73975164的博客
02-28 653
(字符表会根据函数名告诉链接器该函数的地址)(如果当前项目中的所有文件都没有StackInit函数的定义,就会提示链接错误 ,这就是函数只声明不定义产生的常见链接错误)尝试连接两个.o文件,但因为Test.o文件只有StackInit函数的声明,所以链接器就会依据StackInit的函数名去字符表。(C语言不允许同名函数,因为C语言采用简单的符号表管理函数名称,没有名字修饰机制,无法区分同名但参数不同的函数)在同一个作用域内,可以定义多个同名但参数列表(参数的类型、参数的个数、参数类型的顺序)不同的函数
代码逆向 寻找main函数入口.docx 有点汇编
04-19
逆向的第一步是什么?这要问你学习C语言的第一步是什么,很自然的,逆向的第一步当然也是大名鼎鼎“HelloWorld!”了。但是也不要因此就误认为这一节会很简单,如果你是第一次接触逆向的话,那么这一节还是有些难度的。 好的,让我们先写一个世界上最出名的程序: int _tmain(int argc, _TCHAR* argv[]) { printf("Hello World!\r\n"); return 0; }
十三、MIPS汇编指令-main函数
wanhex的博客
03-07 3047
本次的分享,我们将以一段简单的C语言程序为例,使用mips-linux的gcc编译器对其进行编译后,使用ida对编译后的程序进行反汇编,并通过对照C语言代码的方式理解MIPS汇编指令。 首先我们来看这段C代码(test.c): #include <stdio.h> #include <string.h> void B() { printf(".....\...
《C++反汇编与逆向分析》动态调试找到main函数
weixin_70811025的博客
01-03 1354
我们在VS C++开发程序在调试时总是从main或WinMain函数开始,这就让我们很容易误认为它们是程序的第一条指令,但是事实并非如此。main或WinMain函数需要一个调用者,在它们被调用前,编译器其实已经做了很多事情,
main函数和启动例程
好习惯成就伟大
08-31 2355
汇编程序的入口是_start,而C程序的入口是main函数。 汇编和链接步骤是: as hello.s -o hello.o ld hello.o -o hello 以前我们常用gcc main.c -o main命令编译一个程序,其实也可以分三步做,第一步生成汇编代码,第二步生成目标文件,第三步生成可执行文件: gcc -S main.c gcc -c main.s gcc main...
第十四周项目4-1:处理C++源代码的程序-查找main()函数
Destiny_Forever的专栏
06-18 1642
问题及代码: /* *Copyright (c)2015,烟台大学计算机与控制工程学院 *All rights reserved. *文件名称:project.cpp *作 者:陈文青 *完成日期:2015年6月16日 *版 本 号:v1.0 * *问题描述:(1)读入一个C++程序,判断其中是否只有一个main()函数,输出“暂时没有发现问题”,或者“没有main()函数”,或者“不能定
main函数解析(一)——Linux-0.11 学习笔记(五)
车子(chezi)
04-01 3891
main()函数解析(一)——Linux-0.11 学习笔记(五) 经过了前面的各种铺垫,终于来到了main函数。这篇博客的任务是把init/main.c讲清楚。由于牵扯到很多的函数调用,要想一次就说明白是很难的,所以我们把目标定得低一点,把脉络理清楚就行。 1. 宏定义_syscall0 文件开头的头文件包含等就不多说了。对于C语言比较熟悉的朋友,我想第一个拦路虎就是“GCC内嵌汇编”...
【逆向工具】IDA使用2-VS2015版本release查找main函数入口,局部变量
weixin_30897233的博客
03-27 725
VS2015版本release查找main函数入口 vc++开发的程序main或WinMain函数是语法规定的用户入口,而不是应用程序入口。入口代码是mainCRTstartup、wmainCRTStartup、WinMainCRTSartup或wWinMainCRTStarup,具体情况由编译器制定。 VS2015版本debug查找main函数在《VS程序反汇编main函数》。rel...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值