今天学习IDA的时候，视频中提到了EP这个词，之前学习的时候我还特意记了一下OEP和EP的区别以及两者之间的关系（差值很有规律），但是今天遇到了有突然想不起来了。问了很多朋友都没有get到我心中的的那个点，百度上的答案也是五花八门，解释看起来比较专业的是下边两个:

a、EP是EntryPoint简称，就是入口点。如果程序加壳后，程序会有个入口点，就是EntryPoint。但加壳前的程序入口点就称为OEP（Original EntryPoint）,

b、如果源程序被加了壳或者入口函数被劫持，则会产生OEP。

其实上边两个回答都不对，一个200+KB的PE解析工具能有这么玄乎？还能分析出来程序有没有被改动过？我又老老实实的找了一下笔记，原来之前海哥讲过，下边我就讲一下OEP和EP。

1.OEP和EP的由来

查看PE结构，我经常要用到PE解析工具PETool,已打开记事本程序为例，打开之后是这样：

上边的箭头指向的就是EP和OEP。

2.OEP和EP的的区别

EP是IMAGE_OPTIONAL_HEADER32结构体中的AddressOfEntryPoint属性，表示在内存中，程序入口函数相对于imagebase的偏移（内存偏移）。见下图:

那什么是OEP？OEP是在文件中，程序入口函数相对于imagebase的偏移（文件偏移偏移）。

以第一个图为例：

EP：0x0000739d(已经不用验证了，看上边第2个图，PETool已经给出来了)

OEP：0x0000679d

下边来验证我上边的解释：OEP是在文件中，程序入口函数相对于imagebase的偏移（文件偏移偏移），下图为笔记本程序的节信息:

0x0000739d>0x00001000并且0x0000739d<0x00009000,这就表明入口点在第一个节中；

下边计算在内存中，入口点相对于第一个节起始点的偏移；

RVA=0x0000739d-0x00001000；

既:RVA=0x0000639d。

因为入口点在内存中相对于第一个节起点的偏移==入口点在文件中相对于第一个节起点的偏移，因此入口点在文件中的偏移=RVA+第一个点在文件中的偏移，计算如下:

RVA+0x00000400既0x0000639d+0x00000400；

结果:入口点在文件中的偏移=0x0000679d，结果就是第一张图上的OEP的值!

3.为什么有的程序OEP和EP相等，有的不相等?

这涉及到文件对齐值和内存对齐值是否一致，见下图：

可选PE头(IMAGE_OPTIONAL_HEADER)有两个参数:SectionAlignment、FileAlignmen,当两值相等，则PE结构中每个节的起始偏移相同，导致OEP==EP;当两值不相等（通常都是文件对齐<内存对齐），导致OEP!=EP。

第一次发帖，如有误还请看雪大佬指正，我是菜鸟初学。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课