《C++反汇编与逆向分析》动态调试找到main函数

最新推荐文章于 2025-03-24 11:25:55 发布
最新推荐文章于 2025-03-24 11:25:55 发布
阅读量1.3k 收藏 14
点赞数 16
文章标签: c++ 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_70811025/article/details/135359152
版权
本文详细解释了在C/C++程序中,main或WinMain函数作为语法规定的用户入口,实际调用前编译器进行的初始化工作,包括全局数据设置、缓冲区溢出保护等。并通过IDA和x64dbg工具展示了动态和静态定位main函数的调试过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我们在VS C++开发程序在调试时总是从main或WinMain函数开始,这就让我们很容易误认为它们是程序的第一条指令,但是事实并非如此。main或WinMain函数需要一个调用者,在它们被调用前,编译器其实已经做了很多事情,所以main或WinMain是“语法规定的用户入口”,而不是"应用程序入口"

探寻在main函数调用前编译器做了什么事情:

在调用main()函数前编译器会添加一些初始化c语法或c++语法全局数据,初始化缓冲区溢出全局变量。

程序入口函数mainCRTStartup:

__scrt_common_main:

 这个函数在内部调用了__security_init_cookie()来初始化缓冲区溢出全局变量。(可以通过变量来阻拦一下缓冲区溢出攻击)

 __scrt_common_main_seh:

此函数用来初始化c或c++中的一些全局数据,初始化线程,然后调用invoke_main()。

invoke_main:

调用主函数。

x64dbg定位main函数:

IDA静态分析:

先将exe文件拖入IDA中,通过交叉引用从main反推到入口函数mainCRTStartup。

debug模式下x64程序从mian反推调用过程中汇编特征

1.main

2.jmp

3.4个call,跟进最后一个call

4.movzx

   test

   jz

   mov

   mov

   call

   call  <--跟进

5.2个call,跟进最后一个call

6.一个call,跟进

7.jmp

 

 

 

 

 

 

 

x64dbg动态定位main:

首先我们将应用程序的pdb文件(调试信息)文件删除,模拟真实场景。

我们将exe文件拖入x64dbg.exe中。

 可以看到我们目前还在系统文件空间ntdll.dll中。我们按下F9进入我们自己的应用程序空间。

 

接着我们根据上面IDA的分析反推来找到main函数

步骤如下:

1.jmp -->跟进

2.一个call,跟进

3.2个call,跟进最后一个call

4.movzx

   test

   jz

   mov

   mov

   call

   call  <--跟进

5.4个call,跟进最后一个call

6.jmp

 

逆向之1PE文件通过逆向工具(IDA和OD)寻main和winmain
ISNS的博客
03-20 2878
这学期逆向这门课的第一个小组作业是:PE文件通过逆向工具(IDA和OD)寻main和winmain。 完整的实验报告见组长的博客: https://www.cnblogs.com/-mo-/p/12524691.html 因为我在小组分工里完成的是寻winmain的过程(其实就是按照组长的博客复现了一遍、录了视频摆了),所以这里也只记录了关于winmain的一些知识点。 1.定义 WinMa...
main函数
SMOne
06-26 2350
一、说明 1.使用环境 寻main函数的主要目的,还是寻用户代码,所以通常只用在控制台程序和SDK程序。 其他界面程序会使用各种界面库,即便找到main函数,里面也是一堆非用户编写代码,没有任何意义。 2.调用方式会影响代码特征 VS默认调用约定_cdecl,堆栈传参,所以传参的代码是PUSH * 如果是其他CALL,会用到寄存器传参和堆栈传参,代码是会发生变化的 二、查mai...
逆向工具】IDA使用1-VS2015版本debug查Main函数,加载符号文件
weixin_30954607的博客
03-25 836
IDA 常见操作 空格,切换反汇编视图 选择CALL或是跳转 进入函数内部或是跳转处 返回键 ESC daq.exe 分析32位程序 ,生成的IDA数据库文件是 .idb Idap64.exe 分析64位程序, 生成的IDA数据库文件是 .i64 查程序main函数入口点 在exports选项卡下找到入口点 双击start_0 就进到了函数入口处。在没有导入签名库识别库函数前,...
动态调试main函数识别
最新发布
qq_42363151的博客
03-24 220
main函数识别
反汇编 c++/c 确定main函数的位置
Catch me if you can
04-30 6119
根据启动函数确定winmain/main函数的入口地址
IDA使用-VS2015版本debug查Main函数,加载符号文件
17bdw的编程备份笔记
03-25 91
IDA 常见操作 空格,切换反汇编视图 选择CALL或是跳转 进入函数内部或是跳转处 返回键 ESC daq.exe 分析32位程序 ,生成的IDA数据库文件是 .idb Idap64.exe 分析64位程序, 生成的IDA数据库文件是 .i64 查程序main函数入口点 在exports选项卡下找到入口点 双击start_0 就进到了函数入口处。在没有导入签名库识别库函数前,显示...
C++反汇编逆向分析技术揭秘》笔记-第9章结构体和类
qq_42692132的博客
08-16 1303
C++反汇编揭秘
C++反汇编逆向分析技术揭秘》笔记-第12章从内存角度看继承和多重继承
qq_42692132的博客
08-28 1118
C++反汇编揭秘
C++反汇编逆向分析技术揭秘pdf
weixin_30635053的博客
02-28 1645
下载地址:网盘下载内容简介······本书既是一本全面而系统地讲解反汇编逆向分析技术的安全类专著,又是一部深刻揭示C++内部工作机制的程序设计类著作。理论实践并重,理论部分系统地讲解了C++的各种语法特性和元素的逆向分析方法和流程,重在授人以渔;实践部分通过几个经典的案例演示了逆向分析技术的具体实施步骤和方法。全书共分为三大部分:第一部分主...
C++反汇编逆向分析技术揭秘》笔记-第3章认识启动函数找到用户入口
qq_42692132的博客
07-18 1047
C++反汇编揭秘
C++反汇编视频教程(代码+课件+视频全套价值300元的付费教程)
04-04
价值500元的C++反汇编收费课程:课程介绍 本套课程主要探讨如何读懂 C/C++ 语言程序的反汇编代码。所谓反汇编,简单的讲就是把可执行文件的二进制编码翻译成汇编语言代码,从汇编代码中读懂原高级语言的含义。这是...
代码逆向main函数入口.docx 有点汇编
04-19
逆向的第一步是什么?这要问你学习C语言的第一步是什么,很自然的,逆向的第一步当然也是大名鼎鼎“HelloWorld!”了。但是也不要因此就误认为这一节会很简单,如果你是第一次接触逆向的话,那么这一节还是有些难度的。 好的,让我们先写一个世界上最出名的程序: int _tmain(int argc, _TCHAR* argv[]) { printf("Hello World!\r\n"); return 0; }
逆向工具】IDA使用2-VS2015版本release查main函数入口,局部变量
weixin_30897233的博客
03-27 713
VS2015版本release查main函数入口 vc++开发的程序main或WinMain函数是语法规定的用户入口,而不是应用程序入口。入口代码是mainCRTstartup、wmainCRTStartup、WinMainCRTSartup或wWinMainCRTStarup,具体情况由编译器制定。 VS2015版本debug查main函数在《VS程序反汇编main函数》。rel...
dbg 寻main函数
eli的博客
10-25 2068
方法一,3个push和堆栈平衡 push edi push esi push dword ptr ds:[eax] call project1.D31040 add esp,C 如上,因为main函数的参数是3个,所以,在调用main函数之前一定会有3个参数入栈。 调用main函数后,要平栈,就需要add esp,C 这也是一个main函数的标志。 1,3个入栈 2,调用call--------main函数 3,栈顶指针+C 方法二,xxx ...
[系统安全10]反汇编-函数调用约定、Main函数
17bdw的编程备份笔记
10-14 109
0x1 准备工作 1.1、准备工具 IDA:交互式反汇编工具 OllyDbg:用户层调试工具 Visual Studio:微软开发工具 1.2、基础知识 C++开发 汇编语言 0x2 查真正的main()函数 入口点开始到Main()函数之间的代码都是编译器加进去用于初始化环境用的。 main()函数其实是有3个参数的,这取决于Windows系统的机制。 查方法: 1、字符串...
error LNK2019: 无法解析的外部符号 main函数 “int __cdecl __scrt_common_main_seh(void)“ (?__scrt_common_main_seh
wang1zhong1quan的博客
08-29 3326
error LNK2019: 无法解析的外部符号 main函数 "int __cdecl __scrt_common_main_seh(void)" (?__scrt_common_main_seh@@YAHXZ) 中被引用
没有sig文件时在IDA中定位main函数的一种方法
BiCai2的博客
09-14 3796
当有sig文件时,IDA会自动定位到main函数 .text:004013B0 .text:004013B0 ; =============== S U B R O U T I N E ======================================= .text:004013B0 .text:004013B0 ; Attributes: bp-based frame .text:004
Win32反汇编(二)几种常见的指令反汇编详解:EAX、MOVSXMOVZX、LEA、SUB、CMP转移指令
浪子花梦
08-09 6429
前言 作者:浪子花梦,一个有趣的程序员 ~ 此系列文章都是一些基础的文章,每篇文章都通过几个小例子快速的了解 Win32反汇编OD的使用,在此作个笔记 如若对您有帮助,记得三连哟 ~ 前文链接 Win32反汇编(一) 初步探索Win32反汇编 Ollydbg的简单使用 文章目录 EAX相关寄存器的结构 MOVSXMOVZX扩展转移指令 LEA取地址指令 SUB减法指令 CMP转移指令的配合使用 OD 使用情况小结 ...
C++反汇编函数调用EIP修改实践
"这篇内容主要讨论了C++代码的反汇编分析,特别是关于函数调用的过程以及如何在运行时动态改变程序流程,通过修改EIP寄存器来实现‘偷调函数’的功能。文中以一个简单的MyAdd函数调用为例,展示了反汇编后的代码,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值