逆向工程核心原理学习笔记(一):寻找程序的主函数(Main)

首先编译release版本的helloword程序,代码如下:

逆向工程核心原理学习笔记(一):寻找程序的主函数(Main)_第1张图片


编译完成,拖进OD,结果如图。逆向工程核心原理学习笔记(一):寻找程序的主函数(Main)_第2张图片

程序断在了004011A1 这个地址,这个就是EntryPoint.


这个地址调用了004022DF这个地址的函数,F7跟进函数,如图。逆向工程核心原理学习笔记(一):寻找程序的主函数(Main)_第3张图片

并没有什么有用的信息让我们查找Main函数,然后Ctrl+F9调到函数结尾,retn.


逆向工程核心原理学习笔记(一):寻找程序的主函数(Main)_第4张图片


然后F8跳出,到达了004011A6这个地址,继续跟。逆向工程核心原理学习笔记(一):寻找程序的主函数(Main)_第5张图片


继续跟就是到00401026这个地址,F8跳过去。

逆向工程核心原理学习笔记(一):寻找程序的主函数(Main)_第6张图片


下面两个CALL,跟进去第一个看看,有没有有价值的东西。

逆向工程核心原理学习笔记(一):寻找程序的主函数(Main)_第7张图片


显然没什么有用的东西,跳出去吧,继续跟下一个CALL。逆向工程核心原理学习笔记(一):寻找程序的主函数(Main)_第8张图片


也是没什么用,那就跳出去,往下走走看看。逆向工程核心原理学习笔记(一):寻找程序的主函数(Main)_第9张图片


看看00401082地址的CALL,跟进去看看,是一个调用api函数的,无用,跳出去逆向工程核心原理学习笔记(一):寻找程序的主函数(Main)_第10张图片


然后就这样一直跟,跟到了00401113,下面一个call,跟进去这个函数逆向工程核心原理学习笔记(一):寻找程序的主函数(Main)_第11张图片


跟进去我们看到了我们的main函数。逆向工程核心原理学习笔记(一):寻找程序的主函数(Main)_第12张图片


继续跟,下面一个MessageBox函数,是微软官方的API。逆向工程核心原理学习笔记(一):寻找程序的主函数(Main)_第13张图片


让他执行后就是我们的信息框了。逆向工程核心原理学习笔记(一):寻找程序的主函数(Main)_第14张图片


另外附上HelloWord源程序,大家可以自己试一下


HelloWord.exe  :  http://t.cn/RXysfS8


你可能感兴趣的:(汇编逆向破解)