各种程序入口点特征值-吾爱汇编-防破解,反调试,反汇编,软件安全,逆向分析-52hb.com

南国槿秋 发表于 2015-3-1 13:22

各种程序入口点特征值

常见各种语言编写的程序的入口点代码
1.Borland Delphi 6.0 - 7.0PUSH EBP
MOV EBP,ESP
ADD ESP,-14
PUSH EBX
PUSH ESI
PUSH EDI
XOR EAX,EAX
MOV DWORD PTR SS:,EAX
MOV EAX,unpack.00509720
CALL unpack.0040694C2.Microsoft Visual C++ 6.0PUSH EBP ; (初始 cpu 选择)
MOV EBP,ESP
PUSH -1
PUSH Screensh.00563740
PUSH Screensh.0049C78C ; SE 处理程序安装
MOV EAX,DWORD PTR FS:
PUSH EAX
MOV DWORD PTR FS:,ESP
SUB ESP,583.Microsoft Visual C++ 6.0 E语言PUSH EBP
MOV EBP,ESP
PUSH -1
PUSH Nisy521.004062F0
PUSH Nisy521.00404CA4 ; SE 处理程序安装
MOV EAX,DWORD PTR FS:
PUSH EAX
MOV DWORD PTR FS:,ESP4.Microsoft Visual Basic 5.0 / 6.0JMP DWORD PTR DS:[] ; MSVBVM60.ThunRTMain
PUSH PACKME.00407C14
CALL
ADD BYTE PTR DS:,AL
ADD BYTE PTR DS:,AL
ADD BYTE PTR DS:,AL
XOR BYTE PTR DS:,AL
或省略第一行的JMP
push dumped_.0040D4D0
call
add byte ptr ds:,al
add byte ptr ds:,al
add byte ptr ds:,al
xor byte ptr ds:,al
add byte ptr ds:,al5.BC++JMP SHORT BCLOCK.0040164E
; CHAR 'f'
; CHAR 'b'
; CHAR ':'
; CHAR 'C'
; CHAR '+'
; CHAR '+'
; CHAR 'H'
; CHAR 'O'
; CHAR 'O'
; CHAR 'K'
NOP
00401649 |E9 DB E9
DD OFFSET BCLOCK.___CPPdebugHook
MOV EAX,DWORD PTR DS:
SHL EAX,2
MOV DWORD PTR DS:,EAX
PUSH EDX
PUSH 0 ; /pModule = NULL
CALL ; \GetModuleHandleA
MOV EDX,EAX6.Dasm:; /pModule = NULL
CALL ; \GetModuleHandleA
MOV DWORD PTR DS:,EAX
CALL ;
MOV DWORD PTR DS:,EAX
PUSH 0A ; /Arg4 = 0000000A
PUSH DWORD PTR DS: ; |Arg3 =00000000
PUSH 0 ; |Arg2 = 00000000
PUSH DWORD PTR DS: ; |Arg1 =000000007.VC8 -> Microsoft Corporationcall QQRecord.00446C13 ; (Initial CPU selection)
jmp QQRecord.0043DD01
push ebp
mov ebp,esp
push ecx
push ebx
mov eax,dword ptr ss:
add eax,0C
mov dword ptr ss:,eax
mov ebx,dword ptr fs:
mov eax,dword ptr ds:
mov dword ptr fs:,eax
mov eax,dword ptr ss:
mov ebx,dword ptr ss:
mov ebp,dword ptr ss:
mov esp,dword ptr ds:
jmp eax
pop ebx
leave
retn 88.PBPUSH EBP
MOV EBP, ESP
PUSH EBX
PUSH ESI
PUSH EDI
MOV EBX, 00416000
TEST WORD PTR CS:, 850F0004
FILD DWORD PTR
ADD , AL
PUSH 00000000
CALL ; CoInitialize
CALL 0041100A
MOV , 00000001
LEA EAX,
PUSH EAX
CALL ; GetVersionExA
SUB ESP, 00000044
MOV , 00000044
MOV , 00000000
PUSH ESP
CALL ; GetStartupInfoA
MOV EAX, 0000000A
TEST , 00000001
JZ 410DBC
MOVZX EAX, WORD PTR
ADD ESP, 00000044
MOV , EAX
CALL ; GetCommandLineA9.Borland C++ 1999jmp short VBto_UNP.004014E2
bound di,dword ptr ds:
inc ebx
sub ebp,dword ptr ds:
dec eax
dec edi
dec edi
dec ebx
nop
jmp 0097157A
mov eax,dword ptr ds:
shl eax,2
mov dword ptr ds:,eax
push edx
push 0
call<jmp.&kernel32.GetModuleHandleA>10,Microsoft Visual C++ ver. 8.0call SolidPDF.004A3F56
jmp SolidPDF.004A38AF
int3
int3
int3
int3
int3
int3
push ecx
lea ecx,dword ptr ss:
sub ecx,eax
and ecx,0F
add eax,ecx
sbb ecx,ecx
or eax,ecx
pop ecx
jmp SolidPDF.004A3810
push ecx
lea ecx,dword ptr ss:

虚竹发表于 2015-3-1 13:25

.........我怎么没看到E- -！

Scar-疤痕 发表于 2015-3-1 13:33

这个应该学习一下

无言仰慕不起 发表于 2015-3-1 13:35

温柔断想发表于 2015-3-1 13:25
.........我怎么没看到E- -！

易语言的特征太简单了，这个你还要！？

东子郭 发表于 2015-3-1 13:36

我觉得脱壳还不会，入口点离我很遥远

xingxi 发表于 2015-3-1 13:37

前排支持一下楼主

520Kelly 发表于 2015-3-1 13:48

本帖最后由 520Kelly 于 2015-3-1 13:56 编辑

我觉得放图比较直观、你觉得呢？

Mrsin 发表于 2015-3-1 14:01

{:5_117:}我也是喜欢直接放图比较好点!

wpsys 发表于 2015-3-1 14:56

支持一下楼主

Ms兄弟 发表于 2015-3-1 16:35

{:6_218:}貌似有很多这样的贴了。。

页: [1] 2

吾爱汇编's Archiver

各种程序入口点特征值