查找vs2015编译的可执行文件的OEP

最新推荐文章于 2024-12-24 22:58:20 发布
最新推荐文章于 2024-12-24 22:58:20 发布
阅读量226 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://blog.51cto.com/haidragon/2116951
本文介绍如何在Visual Studio中设置断点并进行调试,同时利用IDA反汇编工具查找main函数的具体位置及调用过程。通过具体步骤展示如何逐层深入地解析程序调用流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.写个简单的main函数
···
#include<iostream>
using namespace std;
int main() {
int a = 0;
int b = 1;
int c = 2;
double d = 2.2;
printf("hahaha");
return 0;
}
···
下断到return 0
查找vs2015编译的可执行文件的OEP
2.运行到断点
查找vs2015编译的可执行文件的OEP
3.反汇编运行到ret指令
查找vs2015编译的可执行文件的OEP
4.单步走进去 旁边就多了个文件
查找vs2015编译的可执行文件的OEP
5.点击文件
查找vs2015编译的可执行文件的OEP
发现不管是main还是winmain 都是 invoke_main() 调用的
···
static int __cdecl invoke_main() throw()
{
return main(argc, argv, _get_initial_narrow_environment());
}

static int __cdecl invoke_main() throw()
{
    return wWinMain(
        reinterpret_cast<HINSTANCE>(&__ImageBase),
        nullptr,
        _get_wide_winmain_command_line(),
        __scrt_get_show_window_mode());
}

···
查找vs2015编译的可执行文件的OEP
///////////////////////////通过ida查找///////////////////////////////
左边是win版 6.8 右边mac版7.0 发现7.0直接定位到main 这里从win版找
查找vs2015编译的可执行文件的OEP
1.第一步鼠标点到strat-0空格查看
查找vs2015编译的可执行文件的OEP
2.点到call 函数 sub_4118d0 空格进入(下面都说成点击进入call)
查找vs2015编译的可执行文件的OEP
3.点击call进入
查找vs2015编译的可执行文件的OEP
4.这里就有俩个call 要想找到main函数 都是一层层找 找关键点有3个push的
第一个进去看下肯定不是都系统调用 (中间会有个跳转表 后面的都有)
查找vs2015编译的可执行文件的OEP
查找vs2015编译的可执行文件的OEP

  1. 只有第二个call进去发现call更多 那没办法一个个找(先只找一层)
    6.我找过就直接定位到了:(特征码上面一般是 add esp 4)
    查找vs2015编译的可执行文件的OEP
    7.进去
    查找vs2015编译的可执行文件的OEP
    8.我怎么就知道是三个push呢 先一个个call看 看他有没有参数 没有参数就说明push的参数不是给他的
    9.这里进都不要进去就知道call只是一个跳转是一个参数 因些call sub_411276就是main函数
    10.进入main函数
    查找vs2015编译的可执行文件的OEP
    查找vs2015编译的可执行文件的OEP
    查找vs2015编译的可执行文件的OEP
    11.可以看出就是main他有三个参数
    查找vs2015编译的可执行文件的OEP
    invoke_main()函数调用他 对应函数
    查找vs2015编译的可执行文件的OEP
    12.继续走
    查找vs2015编译的可执行文件的OEP
    查找vs2015编译的可执行文件的OEP
    13.查看上一层( __scrt_common_main_seh())
    查找vs2015编译的可执行文件的OEP
    对应反汇编
    查找vs2015编译的可执行文件的OEP
    14.继续上一层( __scrt_common_main())
    查找vs2015编译的可执行文件的OEP
    对应汇编 (刚好有俩个call)
    查找vs2015编译的可执行文件的OEP
    查找vs2015编译的可执行文件的OEP
    15.继续上一层 (mainCRTStartup())
    查找vs2015编译的可执行文件的OEP
    对应反汇编 就是 start
    查找vs2015编译的可执行文件的OEP
    在ida中按x看谁调用我也就是上一层发现报错 也就是没了
    查找vs2015编译的可执行文件的OEP
    16.在vs中怎么那个快就知道上一层是谁呢 查看调用堆栈
    查找vs2015编译的可执行文件的OEP
    查找vs2015编译的可执行文件的OEP

转载于:https://blog.51cto.com/haidragon/2116951

【脱壳-寻找OEP】壳常用的函数寻找OEP
这个人很懒什么都没有留下
10-20 442
我们这次用GetProcAddres来测试,载入我们的测试文件然后Cttrl+G输入GetProcAddress获取函数的地址下断点,但是下的是条件断点,只针对函数加载进行记录而不是进行下断。但是这里的数据有几千行不知道哪一行是我们要定位的数据,我们在他的代码段设置访问断点然后一直按住F9往下运行一直到他被断下来为止。这次我们用的是特殊OD。之后一直F9停下来的就会出现代码段,这就是我们的OEP了,但是这个方法不太好用不建议使用。设置esp的记录为记录值,因为esp的栈顶数据读入的第一条肯定是他。
寻找OEP
ruins44的博客
05-24 1364
对于加了壳的软件,要寻找其OEP(Origin entry pointer)入口点的时候,该如何去寻找 1.根据跨段指令去寻找OEP 绝大多数加壳程序在被加密的程序中加上一个或多个区块,这个可以使用PEID软件去查看相应的区段(section)。 这个方法的思路是:一般是跟踪软件,一直跟踪,然后看起跨段指令,最后得出OEP。 加壳程序的入口点代码如下。 一直跟踪就能跟出外壳程序,
VS自动找到运行所需的文件
码灵薯的博客
10-24 339
在使用VS调试程序过程中,经常需要用到一些动态库。简单的复制拷贝效率太低,而且占用内存空间,不是一种优雅的方式。通过制定动态库的目录可以优雅的解决这些问题,提高程序开发效率。 其中主要涉及修改工作目录,和环境。 默认调试属性如下 修改工作目录 默认工作目录是工程所在的目录。所以如果不愿意修改工程属性,可以将编译和运行所需的文件直接拷贝至项目工程目录。 我们运行相关的动态库放在一个目录,例如"...
可执行文件的装载与进程
一个人的旅行的博客
06-10 453
首先简单说明程序和进程的区别程序就如同菜谱,人就如同cpu,其他厨具就如同计算机的其他硬件,整个炒菜的过程就是一个进程进程创建过程从操作系统的角度看,一个进程最关键的特征是拥有独立的虚拟地址空间。创建进程通常需要执行以下三个步骤:1、创建独立的虚拟地址空间虚拟地址空间是一组页映射函数将虚拟空间映射至物理内存,因此创建虚拟地址空间则是创建映射函数所需的数据结构,真正映射关系通常在后续的程序发送页错误...
C++学习(三九六)如何查看.o文件
hankern的专栏
10-15 5057
objdump -h xxxx.o 打印主要段的信息 objdump -x xxxx.o 打印更多的详细信息 objdump -s xxx.o 将所有段的内容以16进制方式打印出来 objdump -d xxx.o 或者-S 将所有包含指令的段反汇编 objdump -t xxx.o 查看所有的符号以及他们所在段 readelf -h xxx.o ...
读取PE文件OEP
08-21
标题中的“读取PE文件OEP值”是指在编程中解析Portable Executable (PE) 文件格式,特别是查找并提取其入口点(Entry Point,简称OEP)的过程。PE文件是Windows操作系统中用于执行的二进制文件,如可执行程序、动态...
显示.exe文件OEP
04-30
在Windows操作系统中,大多数可执行文件.exe)遵循PE格式,它们的执行始于PE头中的入口点。然而,当文件被压缩或混淆时,原始入口点可能不再与PE头中指定的位置一致。 在这个工程中,我们看到一个名为"显示.exe...
常用OEP.zip
01-28
OEP作为PE文件中的一环,是操作系统加载器在启动一个可执行程序时,查找并定位到的初始执行点。通常情况下,理解OEP的位置对于深入分析程序的运行机制至关重要,特别是在进行逆向工程时,研究人员需要知道从哪里开始...
upx加壳的可执行文件破损了怎么恢复
最新发布
03-23
- **重编译或静态链接**:使用新版编译器(如Visual Studio)重新生成可执行文件。 - **依赖项修复**:通过Dependency Walker检查缺失的DLL,补充运行时库。 --- #### **5. 高级修复工具** - **PE修复工具**:使用...
PE文件结构
UE星空
12-24 1334
PE文件是Windows下可执行文件的总称,英文全称PortableExecutable可移植的可执行文件,常见的有exe、dll、sys、com、ocx对于了解(木马、免杀、病毒、外挂、内核),了解PE文件结构是非常有必要且非常重要的!代码段:可读可执行不可写数据段:可读可写不可执行资源段:可读不可执行不可写导入表(.idata):简称IAT表ImportAddressTable。
OEP大全,快速查看不同编译语言编写的程序的OEP特征工具
01-16
快速查看不同编译语言编写的程序的OEP特征工具,就像字典一样,需要哪个查哪个。点击编译语言按钮,就会出来相应的OEP特征
逆向总结(2)--OEP特征码总结
oBuYiSeng的博客
12-28 2329
常见的OEP特征码(??代码代表一个字节,取值为任意) VS2012、VS2013 Release OEP的特征 E8????????E9????????3B0D VS2012、VS2013 Release 第一个CALL内的特征 含有4个call 3145FC8D45EC50FF15????????8B4DF0 Delphi7 OEP特征 含有5个call,5个ca
逆向程序分析:Win32程序入口函数
CodeBowl的博客
10-23 3406
逆向程序分析:Win32程序入口函数Winmain() Win32程序Winmain()函数说明参考资料 现在是无线时代,从事Windows相关开发逆向工作的人越来越少,涌入的新人更是少之又少,目前自己也是新手,记录一下学习过程 Winmain() Win32程序 很多人可能不知道win32程序和控制台程序有什么区别,这个我们可以通过修改项目的属性配置来看一下: 在这个地方,我们可以把项目属性修改为窗口程序,然后运行程序,发现会报错 在这个地方,我们可以把项目属性修改为窗口程序,然后运行程序,发现会报
解析Windows main和wWinMain函数
qq_32700993的博客
04-23 2544
Windows 创建不同的应用程序,所对应的函数入口也会有所不同,在此以main和wWinMain函数来分析一下为什么windows这么设计。其它类似main入口同理。
1.c语言执行的入口函数是,C语言中的main函数为什么被称作程序入口
weixin_35823048的博客
05-20 2266
在系统把使用权交给我们的这个过程,就是系统安排我们程序运行的过程,也就是准备进入我们程序的入口函数main或者WinMain的过程。操作系统时刻都在运行中,除非你关机断电了。而负责管理各个程序运行的部分就是系统的调度程序。它一直和交通警察一样的,管理进程的运作。当你双击的exe程序时,系统会检测到你的鼠标的动作,从而进行处理。如果发现你双击的是某个exe,系统发现你想要执行一个程序,便会安排让你的...
main函数的return
热门推荐
小Z的博客
07-16 1万+
最近的一段时间在return这个关键字进行了一点的探究,主要是涉及到调用return之后函数会进行什么操作。 return是一个关键字,调用return会进行函数的返回,将后面的参数返回给调用者(main函数也是被调用的),并销毁调用堆栈。 以上是return函数的作用,接下来主要看一下main函数的return之后会发什么。测试代码如下: int main() { return...
C语言中的main函数为什么被称作程序入口
Machine Learning with Tutors
01-07 3924
在接下来的五个函数执行中,都可以看到前面ConsoleApplication3开头,这个是我们的程序文件名,这表示这几个函数都是为我们程序服务的,这些都是运行在我们程序的进程空间的,其实就是我们程序所占的内存块中。操作系统的安排,启动运行时库,运行时库再初始化好环境,然后启动你的入口函数,你的程序才正常的运行起来。如果你看到的不是这样的,有很多问号的,或者显示什么不可用符号等等,在对应的那条上面,右击点击显示或导入“符号”的菜单,然后VS自动更新符号,这样就可以显示出这些函数分符号名了。
【C语言】main函数的参数解析
Qingmou's_blog
08-02 4196
main函数 每个C程序都必须有一个main函数,main函数又称为主函数,是执行程序的起点,它被称之为函数,是否会像平时使用函数时需要自己的参数呢? 答案是肯定的,那么他都有那些参数呢? main函数的在vs2017环境下调试,可以看到main函数里的三个参数 #include &amp;amp;amp;lt;stdio.h&amp;amp;amp;gt; int main() { return 0; } 可以看到,...
无法解析的外部符号 WinMain,该符号在函数 "int __cdecl invoke_main(void)" (?invoke_main@@YAHXZ) 中被引用
jacke121的专栏
02-12 1万+
无法解析的外部符号 WinMain,该符号在函数 "int __cdecl invoke_main(void)" (?invoke_main@@YAHXZ) 中被引用(2)项目-&gt;属性-&gt;配置属性-&gt;连接器-&gt;系统中的【子系统】设置为Windows(/SUBSYSTEM:WINDOWS)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值