Як визначити точку входу

Точка входу, або Entry Point, - це адреса, за якою знаходиться команда, з якої починається виконання програми. Знаходження точки входу є одним з перших кроків при дослідженні будь-якої програми.
Як визначити точку входу




Інструкція
1
Слід розрізняти EP (Entry Point) і OEP (Original Entry Point). Термін EP використовується у випадку з не запакованою (або не захищеної протектором) програмою. Якщо програма упакована / захищена, то місце Entry Point займає перша команда пакувальника, тому необхідно знайти оригінальну точку входу - OEP.
2
Знайти Entry Point, тобто точку входу В не запакованою програмі, можна різними способами. Наприклад, скористайтеся програмою Peid. Відкрийте її, натисніть в правій верхній частині вікна кнопку вибору досліджуваної програми. Для проби відкрийте Блокнот (notepad.exe), він знаходиться в директорії: C: WINDOWSsystem32. Ви побачите адресу Entry Point та інші дані.
3


Спробуйте визначити Entry Point за допомогою програми LordPE. Відкрийте програму, натисніть кнопку PE Editor, виберіть файл notepad.exe і натисніть ОК. Адреса Entry Point буде вказаний в першому рядку.
4
Запустіть відладчик Olly debugger і відкрийте в ньому файл notepad.exe. Після відкриття файлу відладчик сам зупиниться на Entry Point, рядок з адресою точки входу буде виділена сірим кольором.
5
Встановіть програму PE Explorer. Запустіть її, відкрийте в ній notepad.exe (File - Open file). Адреса точки входу буде вказаний в рядку «Address of Entry Point».
6
Якщо програма упакована, спочатку треба її розпакувати. Для визначення пакувальника скористайтеся програмою Peid. Запустіть її, відкрийте в ній запаковану програму. У рядку «EP Section» буде вказаний пакувальник - наприклад, UPX. Значить, для розпакування вам знадобиться UPX даної версії або одна з численних утиліт, що дозволяють розпаковувати упаковані UPX файли. Якщо жодна утиліта не справляється, розпакуйте файл вручну. Про тонкощі ручної розпакування UPX ви можете дізнатися тут: https://forum.antichat.ru/thread28212.html
7
Якщо програма захищена протектором, дізнайтеся його версію за допомогою програми Protection ID. Запустіть її, натисніть кнопку «Scan», виберіть потрібну вам програму. Натисніть кнопку «Відкрити». Програма видасть вам інформацію про тип протектора / пакувальника - в тому випадку, якщо дані варіанти протекторів і пакувальників є в її базі.
Переглядів: 4485

Увага, тільки СЬОГОДНІ!