banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thủ thuật reverse engineering Các dấu hiệu nào cho biết một địa chỉ là Entry Point?  XML
  [Question]   Các dấu hiệu nào cho biết một địa chỉ là Entry Point? 30/06/2008 07:07:10 (+0700) | #1 | 138891
[Avatar]
LQV0604
Elite Member

[Minus]    0    [Plus]
Joined: 29/12/2003 14:54:13
Messages: 59
Offline
[Profile] [PM]
Mình cũng mới chỉ nghiên cứu về REA. Khi một phần mềm bị nén bởi một packer thì các Entry point sẽ bị dấu đi. Nếu muốn unpack thì phải tìm OEP. Vì vậy mình muốn biết các dấu hiệu để có thể xác định một địa chỉ nào đó có thể là một OEP.
[Up] [Print Copy]
  [Question]   Các dấu hiệu nào cho biết một địa chỉ là Entry Point? 30/06/2008 14:42:44 (+0700) | #2 | 138995
[Avatar]
gsmth
Elite Member

[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]

LQV0604 wrote:
Mình cũng mới chỉ nghiên cứu về REA. Khi một phần mềm bị nén bởi một packer thì các Entry point sẽ bị dấu đi. Nếu muốn unpack thì phải tìm OEP. Vì vậy mình muốn biết các dấu hiệu để có thể xác định một địa chỉ nào đó có thể là một OEP.  


Có 1 số trường hợp có thể dựa vào phần mềm đó được compile bằng compiler nào.. để xác định OEP có thể đặt BP (break point) trên 1 hàm / 1 chuỗi byte nào đó đặc trưng cho compiler đó.

Còn 1 số trường hợp khác, như protector sử dụng copy-mem II thì BP trên API: SetProcessWorkingSetSize

Nói túm lại là cũng tùy hoàn cảnh để tìm OEP smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|