首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 编程技术
    3. 发新帖
[求助]程序入口点问题
2008-9-23 09:50 8873

[求助]程序入口点问题

嗜血狂君 活跃值
2008-9-23 09:50
8873
请教一下:

问题:看到好多朋友说入口点免杀,就是把入口点+1
疑惑1:入口点+1不会影响程序运行吗??
疑惑2:入口点能+2,+3........吗?? 为什摸??

等待中......

阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开 发者可享99元/年,续费同价!

收藏
点赞0
打赏
分享
最新回复 (17)
洋洋洒洒
雪    币: 249
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
洋洋洒洒 2008-9-23 10:19
2
0
一些编译器 编译的入口点代码是
push ebp
mov ebp,esp
而进程结束的时候并不需要pop ebp
所以 上面的入口代码 push ebp 可以去掉 也不影响程序运行
push ebp 是一个字节
achillis
雪    币: 7651
活跃值: (493)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
私信
achillis 15 2008-9-23 11:19
3
0
楼上正解。但如果入口不是这个,加了肯定出错。免杀最好不要用这个法子,网上很多免杀教程都是错的
嗜血狂君
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
嗜血狂君 2008-9-24 09:42
4
0
???
入口点+1后不会影响程序运行吗???
sding
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
sding 2008-9-24 14:32
5
0
学习了, 为了确认,自己可以再反下
langev
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
langev 2008-10-15 17:17
6
0
现在有的杀软就检查入口点来判断是不是壳,有什么好办法吗?我把一个正常程序的入口地址改为0x999,就被报成加壳程序了,我想是因为杀软判断代码到了pe头里了,还有加减法如果运算后程序能执行那肯定没有用,仍然会被报,如果不能执行了,可能就不报了,都是研究技术,老大们也说下这方面的技术呀。
achillis
雪    币: 7651
活跃值: (493)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
私信
achillis 15 2008-10-15 17:19
7
0
反对没有缘由的乱改
langev
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
langev 2008-10-15 17:24
8
0
反对什么呀,这是试验,能叫乱改吗?我晕!
achillis
雪    币: 7651
活跃值: (493)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
私信
achillis 15 2008-10-15 18:19
9
0
试验也不等于可以乱来~要有依据
langev
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
langev 2008-10-16 08:13
10
0
你懂什么,少在这绕嘴
北极狐狸
雪    币: 2368
活跃值: (81)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
私信
北极狐狸 7 2008-10-16 08:26
11
0
再不懂也两个精华了!
避免“战争”啊 !
langev
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
langev 2008-10-16 08:35
12
0
没有别的意思,回答问题就回答问题,装很牛逼教训别人呀!真正的高手不是这样吧,在说我哪里乱试了?请问加壳后和未加壳时在PE头上有什么区别?大家都是正常的PE头为什么加了壳会报?像您这样的高手大概不会去想这些简单的问题吧?那我跟你说,因为加了壳的入口地址和正常的不同,所以单凭一个入口地址就能查出你是加壳的,那你说我改这个是乱改吗?我试验了,只要一个加了壳的PE头,其他数据都截去,照样被查,高手们可以去试试先,然后再来教训我们这些菜鸟呀!
北极狐狸
雪    币: 2368
活跃值: (81)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
私信
北极狐狸 7 2008-10-16 08:59
13
0
我是菜,所以我说的话只做讨论,不做解答。
我大致认为不同的编译器编译出的程序,大致在特定的位置会有一个独特的特征码。在杀软或查毒壳在对pe进行分析的时候会根据特征码相对于入口地址的偏移量查找这串特征码。如果查到是现有的某种编译器编译的,自然是正常程序。如果在某个特定位置查到是壳的特征码就根据特征码报是哪种壳,毒也应该是这样报的!如果整个文件中没有任何现有的编译器,壳,或者是毒的特征码。为安全杀软会包加壳,或者是毒。查壳软件会报什么也没有找到!一般杀软,查壳软件都会有毒库,和壳库。我想放的就是特征码了!

修改了入口地址,自然就不是正常的pe了!查询特征码的时候杀软,和壳查软件就在特定的现对偏移处找不到特征码了!所以...

个人见解,大牛斧正!
langev
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
langev 2008-10-16 09:32
14
0
我是菜,所以只能按自己试验的结果说说,高手指导:
1、“在杀软或查毒壳在对pe进行分析的时候会根据特征码相对于入口地址的偏移量查找这串特征码。如果查到是现有的某种编译器编译的,自然是正常程序。”我只截去加了壳的PE头部分,应该不存在编译器留下的痕迹,更不存在按偏移来找特征码的问题,因为数据根本不存在;
2、“如果整个文件中没有任何现有的编译器,壳,或者是毒的特征码。为安全杀软会包加壳,或者是毒。”对上面截取的文件,修改一下入口就不被报,说明这个特征码不可能是别的,只是入口地址,而且他不是一定的,是通过一定的算法得出的;
3、“一般杀软,查壳软件都会有毒库,和壳库。我想放的就是特征码了!”,我想这不简单是一个静态的特征码。
4、“修改了入口地址,自然就不是正常的pe了!查询特征码的时候杀软,和壳查软件就在特定的现对偏移处找不到特征码了!所以...”,手工打造一个最简短的PE文件,应该不具备各种特征,为什么不报?
北极狐狸
雪    币: 2368
活跃值: (81)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
私信
北极狐狸 7 2008-10-16 10:03
15
0
PE 头去掉那不就不是PE文件了嘛?还报有壳我就不知道为什么了!
手工的pe查壳会报什么也没有!杀软的机制我不清楚!或许除了根据特征码还有其他的机制!那个不清楚了!

还有特征码的定位一定不会只是依靠入口点的!毕竟只靠那个,做免杀,做查壳未免也太容易了!
洋洋洒洒
雪    币: 249
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
洋洋洒洒 2008-10-16 11:47
16
0
那个不叫乱改

入口点不在第一个节了 就会被报加壳吧
还有 第一个节rsize=0 vsize很大也会报加壳

你多"乱"改改 就能摸清杀毒软件的脾气了
langev
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
langev 2008-10-16 16:28
17
0
小弟做了个壳被杀软干后再没有办法解决,洋洋洒洒高人呀,说不定是同道中人呀,能否拉兄弟一把,给点思路呀!
梦魇颖雨
雪    币: 234
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
梦魇颖雨 2008-10-16 20:21
18
0
这脾气也太大了~~
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回