2
我想分析OllyDbg中的文件,但是,此文件中的“入口点地址”为0x0000。所以它将运行MZ签名作为ASM代码的开始部分。如何在PE头中入口点地址为零时找到OEP?
大多数调试器也无法直接调试它。
我怎样才能找到修改标题的原始入口点?
A
回答
4
if AddressOfEntryPoint in EXE设置为0 - 如此EXE并且没有此入口点。在这种情况下,为了不崩溃EXE必须具有TLS回调 - 查找IMAGE_TLS_DIRECTORY(IMAGE_DIRECTORY_ENTRY_TLS)和AddressOfCallBacks必须不为0.因此,这是此的真正入口点 - 没有其他选项,否则EXE将崩溃。
大多数调试器也无法直接调试它。
如果调试器在入口点上设置断点,会发生这种情况。在这种情况下,“入口点”将在MZ上 - 以及调试器在此处设置断点(0xcc操作码)时 - 损坏MZ签名。因为进程初始化是异常(user32.UserClientDllInitialize -> ntdll.CsrClientConnectToServer -> RtlImageNtHeaderEx(因为MZ由于断点而损坏))
但是如果调试器没有在入口点设置断点 - 在调试时没有问题。
这样的解决方案 - 寻找IMAGE_DIRECTORY_ENTRY_TLS.AddressOfCallBacks或设置断点LdrpCallTlsInitializers
真的,这是CLR(.NET)图像 - 在这种图像类型的入口点是正式和XP后不能使用。系统忽略它并在mscoree.dll中调用_CorExeMain作为入口点。
但是,如果您尝试使用调试器进行调试,该调试器会自动设置断点到入口点(调试器认为如何) - MZ(IMAGE_DOS_HEADER)已损坏。结果RtlImageNtHeader[Ex]返回0(错误)EXE和应用程序崩溃(在此调试器下)
0
0x00000000是PE文件中入口点地址的有效值,恶意软件使用此技巧使其调试困难。 Visual Studio可以调试EP == 0的二进制文件。
相关问题
- 1. Windows PE determine入口点虚拟地址
- 2. 找到PE入口点的部分
- 3. 入口点的值的地址不同的PE Explorer和UltraEdit的
- 4. 入口点地址
- 5. 关于PE在Windows中的入口点
- 6. PE header入口点RVA
- 7. 如何找到包含头的地址
- 8. PE头基址偏移
- 9. GCC入口点地址
- 10. 我可以在PE头中的代码中设置入口点吗?
- 11. 如何在Google地图中找到纬度和经度为一点的地址?
- 12. iPhone - 如何找到连接的WiFi接入点的MAC地址?
- 13. 如何使用C#更改PE导入地址表?
- 14. 当从地址找到经纬度时,如何给出地址?
- 15. 无法在tm1api.dll中找到入口点
- 16. WCF JavaScript代理时端点地址不为空找不到
- 17. 如何从ftp地址找到网址
- 18. 如何在Android应用程序中查找地点的地址
- 19. 如何理解此图中的PE头?
- 20. 如何在VB.Net winforms应用程序中找到main()入口点?
- 21. 如何在Visual Studio中找到应用程序入口点(C++)
- 22. 如何在Magento项目中找到入口点版本1.9.3.1
- 23. 如何在Eclipse项目中找到入口点?
- 24. 无法找到入口点
- 25. 未找到入口点。
- 26. javah.exe-未找到入口点
- 27. mysqld.exe - 未找到入口点
- 28. mongo.exe - 找不到入口点
- 29. 如何查找进程的入口点(或基址) - 处理ASLR
- 30. PE 101解释窗口API调用的地址
这是'DLL'吗?因为'EXE'不能没有入口点 – RbMm
我确定它是一个exe文件,这就是为什么我需要找到OEP来修改头文件。 – Likak
两个,一个'.EXE'和'.DLL'文件,有入口点, – zx485