[原创]第一章:1.1、寻找main函数入口-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]第一章:1.1、寻找main函数入口

发表于: 2010-5-24 18:20 58560

[原创]第一章:1.1、寻找main函数入口

A1Pass

2010-5-24 18:20

58560

查看主题内容

收藏・53

免费・9

支持

最新回复 (78) ◀ 1 2 3 4 ▶
ysouyno 雪币： 248 活跃值： (157) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	ysouyno 51 楼 NND，这帖子内容掌握了，谢谢楼主了 2010-6-21 23:46 0
infoyou 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	infoyou 52 楼我们单击选择函数入口后，可以看到CPU窗格下面的信息窗格中显示如下信息：跳转来自 0041100F ——我的OD信息窗格中为啥没显示这条信息啊？ 2010-6-29 22:04 0
A1Pass 雪币： 883 活跃值： (314) 能力值： ( LV9，RANK：280 ) 在线值：发帖 26 回帖 229 粉丝 43 关注私信	A1Pass 5 53 楼 1、请注意你的编译器版本与笔者是否相同（不要完全按照文中的操作去做，需要时应该有一些变通） 2、请检查你的od版本与设置，详情请参照35楼 2010-7-5 11:24 0
kxtom 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	kxtom 54 楼楼主，你好，我初学逆向，不太懂，请问用ollydbg加载程序时，我们默认ollydbg在调试设置里不是设为第一次暂停为winmain(若位置以知），那是不是加载完毕暂停的位置就是winmaini啊。 2010-7-8 14:23 0
denial 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 73 粉丝 0 关注私信	denial 55 楼这一系列的文章都不错哦 2010-7-9 09:36 0
sunsdw 雪币： 256 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	sunsdw 56 楼真希望有人能做点过度性的文章老实说楼主你的更适合刚学C语言，没有汇编基础，没有API基础的人但是有了这些想要再进一步就难了，真希望有人能多做做这方面的文章，让大家都成为高手 2010-7-9 10:13 0
tdhao 雪币： 173 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	tdhao 57 楼这个世界上太缺少lz这种人了很少有作者会像lz这么细心的写得这么清楚的，严重支持 2010-7-25 03:11 0
oatzhang 雪币： 2477 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	oatzhang 58 楼转正后第一帖，纪念一下 2010-7-25 07:58 0
venuserena 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	venuserena 59 楼嗯，收藏了，呵呵 2010-7-25 09:30 0
fragwil 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	fragwil 60 楼非常感谢，学了不少东西。 2010-7-25 15:03 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 61 楼 LZ,能否提供下你的OD的具体版本？或者最好打个包？ 2010-7-28 14:54 0
ncsi 雪币： 116 活跃值： (301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	ncsi 62 楼刚开始学究看见这么好的文章谢谢 2010-7-28 15:38 0
dingdeyue 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	dingdeyue 63 楼 mark一下 2010-7-28 22:37 0
A1Pass 雪币： 883 活跃值： (314) 能力值： ( LV9，RANK：280 ) 在线值：发帖 26 回帖 229 粉丝 43 关注私信	A1Pass 5 64 楼我用的就是radasm里带的那个~~ 2010-8-6 05:20 0
omokama 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	omokama 65 楼感谢lz写的文章。谈一下个人感受。 1。vs2005在OD跟踪的时候进入了Main但是没有“返回”的提示，但这估计是特别情况，原理了解我很高兴：）。 2。vc6的main的确好找多了。编译器在进步，同时也在变的复杂起来。 2010-8-15 19:09 0
horace 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	horace 66 楼 mask一下，希望现在来学还来得及~谢谢楼主~ 2010-8-17 19:52 0
tianci 雪币： 247 活跃值： (131) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 145 粉丝 0 关注私信	tianci 67 楼标记学习，谢谢楼主的分享啊！ 2010-9-18 12:38 0
mywxc 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	mywxc 68 楼留个脚印，很精彩！为什么多了那么多JMP.....???? 2010-9-18 14:50 0
lapcca 雪币： 362 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 91 粉丝 0 关注私信	lapcca 69 楼谢谢，楼主的教程了 2010-9-19 10:28 0
luliyuan 雪币： 168 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 38 粉丝 0 关注私信	luliyuan 70 楼受教了。。。。。。。。。。。。 2010-9-19 16:08 0
fjrdwork 雪币： 276 活跃值： (183) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 8 粉丝 4 关注私信	fjrdwork 71 楼有一点点收获 2010-9-19 21:16 0
mafangming 雪币： 190 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 2 关注私信	mafangming 72 楼非常不错,学习了 2010-11-12 10:08 0
新手求雪币： 35 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	新手求 73 楼谢谢正在学习中！ 2011-3-1 10:57 0
多宝鱼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	多宝鱼 74 楼学习学习，谢谢 2011-3-1 11:21 0
koflfy 雪币： 102 活跃值： (1845) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 392 粉丝 3 关注私信	koflfy 1 75 楼呵呵，第一篇文章搞了我老半天，学到不少东西，换了N个OD版本，发现源版的英文版可以显示跳转来自 0041100F，不知道是什么原因，我也用的是楼主一样的OD，但就是不显示。。。跟着35楼的方法试了才找到的，非常感谢楼主。 2011-3-1 11:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

A1Pass

发帖

229

回帖

280

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (78) ◀ 1 2 3 4 ▶
ysouyno 雪币： 248 活跃值： (157) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	ysouyno 51 楼 NND，这帖子内容掌握了，谢谢楼主了 2010-6-21 23:46 0
infoyou 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	infoyou 52 楼我们单击选择函数入口后，可以看到CPU窗格下面的信息窗格中显示如下信息：跳转来自 0041100F ——我的OD信息窗格中为啥没显示这条信息啊？ 2010-6-29 22:04 0
A1Pass 雪币： 883 活跃值： (314) 能力值： ( LV9，RANK：280 ) 在线值：发帖 26 回帖 229 粉丝 43 关注私信	A1Pass 5 53 楼 1、请注意你的编译器版本与笔者是否相同（不要完全按照文中的操作去做，需要时应该有一些变通） 2、请检查你的od版本与设置，详情请参照35楼 2010-7-5 11:24 0
kxtom 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	kxtom 54 楼楼主，你好，我初学逆向，不太懂，请问用ollydbg加载程序时，我们默认ollydbg在调试设置里不是设为第一次暂停为winmain(若位置以知），那是不是加载完毕暂停的位置就是winmaini啊。 2010-7-8 14:23 0
denial 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 73 粉丝 0 关注私信	denial 55 楼这一系列的文章都不错哦 2010-7-9 09:36 0
sunsdw 雪币： 256 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	sunsdw 56 楼真希望有人能做点过度性的文章老实说楼主你的更适合刚学C语言，没有汇编基础，没有API基础的人但是有了这些想要再进一步就难了，真希望有人能多做做这方面的文章，让大家都成为高手 2010-7-9 10:13 0
tdhao 雪币： 173 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	tdhao 57 楼这个世界上太缺少lz这种人了很少有作者会像lz这么细心的写得这么清楚的，严重支持 2010-7-25 03:11 0
oatzhang 雪币： 2477 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	oatzhang 58 楼转正后第一帖，纪念一下 2010-7-25 07:58 0
venuserena 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	venuserena 59 楼嗯，收藏了，呵呵 2010-7-25 09:30 0
fragwil 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	fragwil 60 楼非常感谢，学了不少东西。 2010-7-25 15:03 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 61 楼 LZ,能否提供下你的OD的具体版本？或者最好打个包？ 2010-7-28 14:54 0
ncsi 雪币： 116 活跃值： (301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	ncsi 62 楼刚开始学究看见这么好的文章谢谢 2010-7-28 15:38 0
dingdeyue 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	dingdeyue 63 楼 mark一下 2010-7-28 22:37 0
A1Pass 雪币： 883 活跃值： (314) 能力值： ( LV9，RANK：280 ) 在线值：发帖 26 回帖 229 粉丝 43 关注私信	A1Pass 5 64 楼我用的就是radasm里带的那个~~ 2010-8-6 05:20 0
omokama 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	omokama 65 楼感谢lz写的文章。谈一下个人感受。 1。vs2005在OD跟踪的时候进入了Main但是没有“返回”的提示，但这估计是特别情况，原理了解我很高兴：）。 2。vc6的main的确好找多了。编译器在进步，同时也在变的复杂起来。 2010-8-15 19:09 0
horace 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	horace 66 楼 mask一下，希望现在来学还来得及~谢谢楼主~ 2010-8-17 19:52 0
tianci 雪币： 247 活跃值： (131) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 145 粉丝 0 关注私信	tianci 67 楼标记学习，谢谢楼主的分享啊！ 2010-9-18 12:38 0
mywxc 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	mywxc 68 楼留个脚印，很精彩！为什么多了那么多JMP.....???? 2010-9-18 14:50 0
lapcca 雪币： 362 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 91 粉丝 0 关注私信	lapcca 69 楼谢谢，楼主的教程了 2010-9-19 10:28 0
luliyuan 雪币： 168 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 38 粉丝 0 关注私信	luliyuan 70 楼受教了。。。。。。。。。。。。 2010-9-19 16:08 0
fjrdwork 雪币： 276 活跃值： (183) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 8 粉丝 4 关注私信	fjrdwork 71 楼有一点点收获 2010-9-19 21:16 0
mafangming 雪币： 190 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 2 关注私信	mafangming 72 楼非常不错,学习了 2010-11-12 10:08 0
新手求雪币： 35 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	新手求 73 楼谢谢正在学习中！ 2011-3-1 10:57 0
多宝鱼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	多宝鱼 74 楼学习学习，谢谢 2011-3-1 11:21 0
koflfy 雪币： 102 活跃值： (1845) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 392 粉丝 3 关注私信	koflfy 1 75 楼呵呵，第一篇文章搞了我老半天，学到不少东西，换了N个OD版本，发现源版的英文版可以显示跳转来自 0041100F，不知道是什么原因，我也用的是楼主一样的OD，但就是不显示。。。跟着35楼的方法试了才找到的，非常感谢楼主。 2011-3-1 11:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复