2
我想分析OllyDbg中的文件,但是,此文件中的「入口點地址」爲0x0000。所以它將運行MZ簽名作爲ASM代碼的開始部分。如何在PE頭中入口點地址爲零時找到OEP?
大多數調試器也無法直接調試它。
我怎樣才能找到修改標題的原始入口點?
A
回答
4
if AddressOfEntryPoint in EXE設置爲0 - 如此EXE並且沒有此入口點。在這種情況下,爲了不崩潰EXE必須具有TLS回調 - 查找IMAGE_TLS_DIRECTORY(IMAGE_DIRECTORY_ENTRY_TLS)和AddressOfCallBacks必須不爲0.因此,這是此的真正入口點 - 沒有其他選項,否則EXE將崩潰。
大多數調試器也無法直接調試它。
如果調試器在入口點上設置斷點,會發生這種情況。在這種情況下,「入口點」將在MZ上 - 以及調試器在此處設置斷點(0xcc操作碼)時 - 損壞MZ簽名。因爲進程初始化是異常(user32.UserClientDllInitialize -> ntdll.CsrClientConnectToServer -> RtlImageNtHeaderEx(因爲MZ由於斷點而損壞))
但是如果調試器沒有在入口點設置斷點 - 在調試時沒有問題。
這樣的解決方案 - 尋找IMAGE_DIRECTORY_ENTRY_TLS.AddressOfCallBacks或設置斷點LdrpCallTlsInitializers
真的,這是CLR(.NET)圖像 - 在這種圖像類型的入口點是正式和XP後不能使用。系統忽略它並在mscoree.dll中調用_CorExeMain作爲入口點。
但是,如果您嘗試使用調試器進行調試,該調試器會自動設置斷點到入口點(調試器認爲如何) - MZ(IMAGE_DOS_HEADER)已損壞。結果RtlImageNtHeader[Ex]返回0(錯誤)EXE和應用程序崩潰(在此調試器下)
0
0x00000000是PE文件中入口點地址的有效值,惡意軟件使用此技巧使其調試困難。 Visual Studio可以調試EP == 0的二進制文件。
相關問題
- 1. Windows PE determine入口點虛擬地址
- 2. 找到PE入口點的部分
- 3. 入口點的值的地址不同的PE Explorer和UltraEdit的
- 4. 入口點地址
- 5. 關於PE在Windows中的入口點
- 6. PE header入口點RVA
- 7. 如何找到包含頭的地址
- 8. PE頭基址偏移
- 9. GCC入口點地址
- 10. 我可以在PE頭中的代碼中設置入口點嗎?
- 11. 如何在Google地圖中找到緯度和經度爲一點的地址?
- 12. iPhone - 如何找到連接的WiFi接入點的MAC地址?
- 13. 如何使用C#更改PE導入地址表?
- 14. 當從地址找到經緯度時,如何給出地址?
- 15. 無法在tm1api.dll中找到入口點
- 16. WCF JavaScript代理時端點地址不爲空找不到
- 17. 如何從ftp地址找到網址
- 18. 如何在Android應用程序中查找地點的地址
- 19. 如何理解此圖中的PE頭?
- 20. 如何在VB.Net winforms應用程序中找到main()入口點?
- 21. 如何在Visual Studio中找到應用程序入口點(C++)
- 22. 如何在Magento項目中找到入口點版本1.9.3.1
- 23. 如何在Eclipse項目中找到入口點?
- 24. 無法找到入口點
- 25. 未找到入口點。
- 26. javah.exe-未找到入口點
- 27. mysqld.exe - 未找到入口點
- 28. mongo.exe - 找不到入口點
- 29. 如何查找進程的入口點(或基址) - 處理ASLR
- 30. PE 101解釋窗口API調用的地址
這是'DLL'嗎?因爲'EXE'不能沒有入口點 – RbMm
我確定它是一個exe文件,這就是爲什麼我需要找到OEP來修改頭文件。 – Likak
兩個,一個'.EXE'和'.DLL'文件,有入口點, – zx485