逆向集錄_00_不同程式OEP特征總結

来源:https://www.cnblogs.com/Reginald-S/archive/2018/04/06/8727040.html
-Advertisement-
Play Games

在分析/逆向 程式時,如果事先知道這類程式的一些特征,那將會是事半功倍的; 分析/逆向 程式,和寫程式不同,比喻的話:寫程式像在作案,分析/逆向 程式就像是在破案,對破案來講,重在假想和推理; 特征1:VC鏈接器版本 4.20 特征2:OEP a0) VB5: 【VB5】的OEP平衡堆棧是 sub ...


  • 在分析/逆向 程式時,如果事先知道這類程式的一些特征,那將會是事半功倍的;
  • 分析/逆向 程式,和寫程式不同,比喻的話:寫程式像在作案,分析/逆向 程式就像是在破案,對破案來講,重在假想和推理;

特征1:VC鏈接器版本

VS版本 鏈接器版本
VS2017 14.12
VS2015 14.0, 14.1
VS2013 12.0
VS2012 11.0
VS2010 10.0
VS2008 9.0
VS2005 8.0
VC2003 7.0, 7.1
VC6/VB6/E語言 6.0
VC5/BC++ 5.0
Delphi 2.25
VB5

4.20

 

 

 

 

 

 

 

 

 

 

 

 

 

 

特征2:OEP

a0) VB5:

【VB5】的OEP平衡堆棧是 sub esp,0x54

【VB5】的OEP第一個API調用是GetStartupInfoA

【VB5】程式的IAT引用,都是FF15型的

a1) VB6

【VB6】的OEP平衡堆棧是 sub esp,0x4C

【VB6】的OEP第一個API調用是GetStartupInfoA

【VB6】程式的IAT引用,都是FF15型的

 

b0) Delphi

【Delphi】OEP上面是一個地址
【Delphi】OEP處 有5個CALL
【Delphi】OEP 5個CALL之後,全是0
【Delphi】OEP處第一個CALL有GetModuleHandleA調用
【Delphi】的IAT調用是 FF25形式的

b1) BC++

【BC++】 二進位特征:EB1066623A432B2B484F4F4B90
【BC++】 OEP的第一個API調用是 GetModuleHandleA
【BC++】 IAT調用是 FF25形式的

c) VC6/E語言(通過分析,發現二者特征一致,可以判定E語言和VC6如出一轍)

【VC6】的OEP平衡堆棧是 sub esp,0x58 或 sub esp,0x68或add esp, -0x5C

【VC6】的OEP第一個API調用是GetVersion

【VC6】程式的IAT引用,都是FF15型的

d) VS2013

【VS2013】開始處,call xxx; jmp xxx;
【VS2013】的OEP平衡堆棧是sub esp, 0x44
【VS2013】的OEP第一個API調用是GetStartupInfoW
【VS2013】程式的IAT引用,都是FF15型的

 

這些特征,會對分析程式起到一定的幫助作用,這裡,並沒有完全列出全部的主流程式,希望拋磚引玉吧;


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 之前寫了一篇C#裝飾模式的文章提到了.NET Core的Stream, 所以這裡儘量把Stream介紹全點. (都是書上的內容) .NET Core/.NET的Streams 首先需要知道, System.IO命名空間是低級I/O功能的大本營. Stream的結構 .NET Core裡面的Strea ...
  • IOC(Inversion of Control):控制反轉 以下以課程與老師的安排來介紹控制反轉。 一個合理的課程編排系統應該圍繞培訓的內容為核心,而不應該以具體的培訓老師為核心,這樣才能在正常授課時可以隨意選取合適的老師來上課,而非綁定到一個老師身上。 一、探索IOC 1、最緊耦合度的編法 老師 ...
  • 在嵌入式系統行業用於評價CPU性能指標的標準主要有三種:Dhrystone、MIPS、CoreMark,其中CoreMark是一種新興流行的嵌入式系統處理器測試基準,被認為是比Dhrystone和MIPS更具有實際價值的測試基準。 ...
  • nginx的虛擬主機就是通過nginx.conf中server節點指定的,想要設置多個虛擬主機,配置多個server節點即可 先看一個最簡單的虛擬主機配置示例 虛擬主機名可以有4種格式: (1)準確的名字,例如此例中的a.test.com (2)\ 號開頭的,例如 \ .test.com (3)\ ...
  • 簡介 使用消息隊列可以在任務之間傳遞多條消息。消息隊列由三個部分組成:事件控制塊、消息隊列和消息。 當把事件控制塊成員 OSEventType 的值置為 OS_EVENT_TYPE_Q 時,該事件控制塊描述的就是一個消息隊列。 消息隊列相當於一個共用一個任務等待列表的消息郵箱數組,事件控制塊成員 O ...
  • 1 學習Linux的註意事項 1. 嚴格區分 大小寫 (命令, 文件, 選項) 2. Linux中所有內容以 文件形式 保存, 包括硬體 硬碟文件是/dev/sd[a p] 光碟文件是/dev/sr0等 3. Linux不靠 擴展名 區分文件類型, 靠的是 文件許可權 , 這個和windows不同. ...
  • linux作為一種老牌的開源系統,在幾十年間發展擴散出了三百餘種版本,很多都是我們耳熟能詳的,本篇主要介紹了linux的一些基礎發展由來歷史,市面上常見的幾種流行的linux版本,以及linux啟動的流程。 ...
  • 本文目錄: 1.1 文件描述符(file description,fd) 1.2 文件描述符的複製 1.3 重定向順序很重要:">file 2>&1"和"2>&1 >file" 1.4 改變當前shell環境的重定向目標 1.5 關閉文件描述符 1.6 打開文件 1.7 文件描述符的移動 1.8 經 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...