Inngangspunktet, eller inngangspunktet, er adressen der kommandoen som programmet starter utførelsen til ligger. Å finne inngangspunktet er et av de første trinnene i å undersøke ethvert program.
Bruksanvisning
Trinn 1
Det skal skilles mellom EP (Entry Point) og OEP (Original Entry Point). Begrepet EP brukes i tilfelle et utpakket (eller ikke beskyttet av en beskytter) program. Hvis programmet er pakket / beskyttet, blir stedet for inngangspunktet tatt av den første kommandoen til pakkeren, så du må finne det opprinnelige inngangspunktet - OEP.
Steg 2
Du finner inngangspunktet, det vil si inngangspunktet i et pakket program, på forskjellige måter. Bruk for eksempel Peid-programmet. Åpne den, klikk på knappen for å velge programmet som undersøkes øverst til høyre i vinduet. For å prøve, åpne Notisblokk (notepad.exe), den ligger i katalogen: C: WINDOWSsystem32. Du vil se inngangspunktsadressen og andre detaljer.
Trinn 3
Prøv å bestemme inngangspunktet ved hjelp av LordPE-programmet. Åpne programmet, klikk på PE Editor-knappen, velg notepad.exe-filen og klikk OK. Inngangspunktet vil bli oppført på første linje.
Trinn 4
Start Olly debugger og åpne notepad.exe i den. Etter at filen har åpnet, vil feilsøkingsprogrammet stoppe ved inngangspunktet, linjen med inngangspunktadressen blir uthevet i grått.
Trinn 5
Installer PE Explorer. Kjør den, åpne notepad.exe i den (Fil - Åpne fil). Startpunktadressen vil bli oppført i linjen "Adresse til inngangspunktet".
Trinn 6
Hvis programmet er fullpakket, må du først pakke det ut. Bruk Peid-programmet til å identifisere pakkeren. Kjør det, åpne det fullpakket programmet i det. "EP-seksjon" -linjen vil inneholde en innpakning - for eksempel UPX. Dette betyr at for å pakke ut trenger du UPX i denne versjonen eller et av de mange verktøyene som lar deg pakke ut pakket UPX-filer. Hvis ingen av verktøyene klarer det, pakker du ut filen manuelt. Du kan finne ut om komplikasjonene ved manuell UPX-utpakking her:
Trinn 7
Hvis programmet er beskyttet av en beskytter, kan du finne ut versjonen ved hjelp av Protection ID-programmet. Kjør den, klikk på "Scan" -knappen, velg programmet du trenger. Klikk på "Åpne" -knappen. Programmet vil gi deg informasjon om typen beskytter / pakker - hvis disse alternativene for beskyttere og pakkere er i databasen.
