Borland Delphi 6.0-7.0

push ebp
mov  ebp,esp
add  esp,-14
push ebx
push esi
push edi
xor  eax,eax
mov dword ptr ss:[ebp-14],eax
mov eax ,程序文件名.地址
call 程序文件名.地址

microsoft visual c++6.0

push ebp
mov  ebp,esp
push -1
push screensh.00563740
push screensh.0049c78c
mov  eax,dword ptr fs:[0]
push eax
mov  dword ptr fs:[0],esp

microsoft visual basic 5.0/6.0

jmp dword ptr ds:[<&msvbvm60.#100>]
push packme.00407c14
call <jmp.&msvbvm60.#100>
add  byte ptr ds:[eax],al
add  byte ptr ds:[eax],al
add  byte ptr ds:[eax],al
xor  byte ptr ds:[eax],al

或省略第一行的jmp
push packme.00407c14
call <jmp.&msvbvm60.thunrtmain>
add  byte ptr ds:[eax],al
add  byte ptr ds:[eax],al
add  byte ptr ds:[eax],al
xor  byte ptr ds:[eax],al
add  byte ptr ds:[eax],al

bc++

jmp short bclock.0040164e
db 66          ;char'f'
db 62          ;char'b'
db 3a          ;char':'
db 43          ;char'c'
db 2b          ;char'+'
db 2b          ;char'+'     
db 4f          ;char'o'
db 4f          ;char'o'
db 4b          ;char'k'
nop
db e9   
dd offset bclock.___cppdebughook
mov eax dword ptr ds:[4ee08b]
shl eax,2
mov dword ptr ds:[4ee08f],eax
push edx
push 0
call<jmp.&kernel32.getmodulehandlea>
mov edx,eax

dasm

push 0
call <jmp.&kernel32.getmodulehandleA>
mov dword ptr ds:[40350c],eax
call <jmp.&kernel32.getcommandlineA>
mov dword ptr ds:[403510],eax
push 0a
push dword ptr ds:[403510]
push 0
push dword ptr ds:[40350c]

Microsoft Visual C++ 6.0 SPx Method 1

004010CC  /.  55            push ebp
004010CD  |.  8BEC          mov ebp,esp
004010CF  |.  83EC 44       sub esp,44
004010D2  |.  56            push esi
004010D3  |.  FF15 E4634000 call dword ptr ds:[4063E4]     ; [GetCommandLineA
004010D9  |.  8BF0          mov esi,eax
004010DB  |.  8A00          mov al,byte ptr ds:[eax]
004010DD  |.  3C 22         cmp al,22
004010DF  |.  75 1B         jnz short SVKP.004010FC

Borland Delphi 4.0 - 5.0

00486718    55              push ebp
00486719    8BEC            mov ebp,esp
0048671B    83C4 F4         add esp,-0C
0048671E    B8 18654800     mov eax,emailcas.00486518
00486723    E8 5401F8FF     call emailcas.0040687C
00486728    A1 BC814800     mov eax,dword ptr ds:[4881BC]
0048672D    8B00            mov eax,dword ptr ds:[eax]
0048672F    E8 9876FCFF     call emailcas.0044DDCC
00486734    A1 BC814800     mov eax,dword ptr ds:[4881BC]
00486739    8B00            mov eax,dword ptr ds:[eax]
0048673B    BA 78674800     mov edx,emailcas.00486778            ; ASCII "Email caster "
00486740    E8 8B72FCFF     call emailcas.0044D9D0

Borland C++ 1999

00401438   /EB 10           JMP SHORT Warlords.0040144A
0040143A   |66:623A         BOUND DI,DWORD PTR DS:[EDX]
0040143D   |43              INC EBX
0040143E   |2B2B            SUB EBP,DWORD PTR DS:[EBX]
00401440   |48              DEC EAX
00401441   |4F              DEC EDI
00401442   |4F              DEC EDI
00401443   |4B              DEC EBX
00401444   |90              NOP
00401445  -|E9 98F04200     JMP 008304E2
0040144A   \A1 8BF04200     MOV EAX,DWORD PTR DS:[42F08B]
0040144F    C1E0 02         SHL EAX,2

这些是我的在脱壳时从不同语言程序上找的oep入口特征。我也是新手大家多多批评指正。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课