Входната точка или Entry Point е адресът, на който се намира командата, от която програмата започва изпълнението. Намирането на входната точка е една от първите стъпки в изследването на всяка програма.
Инструкции
Етап 1
Трябва да се прави разлика между EP (входна точка) и OEP (оригинална входна точка). Терминът EP се използва в случай на разопакована (или незащитена от протектор) програма. Ако програмата е опакована / защитена, тогава мястото на входната точка се заема от първата команда на пакера, така че трябва да намерите оригиналната входна точка - OEP.
Стъпка 2
Можете да намерите входната точка, т.е. входната точка в разопакована програма, по различни начини. Например използвайте програмата Peid. Отворете го, щракнете върху бутона за избор на изследваната програма в горната дясна част на прозореца. За да опитате, отворете Notepad (notepad.exe), той се намира в директорията: C: WINDOWSsystem32. Ще видите адреса на входната точка и други подробности.
Стъпка 3
Опитайте се да определите входната точка с помощта на програмата LordPE. Отворете програмата, щракнете върху бутона PE Editor, изберете файла notepad.exe и щракнете върху OK. Точката за влизане ще бъде изброена на първия ред.
Стъпка 4
Стартирайте дебъгер на Olly и отворете notepad.exe в него. След отваряне на файла самият дебъгер ще спре на входната точка, редът с адреса на входната точка ще бъде маркиран в сиво.
Стъпка 5
Инсталирайте PE Explorer. Стартирайте го, отворете notepad.exe в него (File - Open file). Адресът на входната точка ще бъде посочен в реда "Адрес на входната точка".
Стъпка 6
Ако програмата е опакована, първо трябва да я разопаковате. Използвайте програмата Peid, за да идентифицирате пакера. Стартирайте го, отворете опакованата програма в него. Редът "EP Section" ще съдържа обвивка - например UPX. Това означава, че за разопаковане ще ви е необходим UPX на тази версия или една от многото помощни програми, които ви позволяват да разопаковате опаковани UPX файлове. Ако никоя от помощните програми не може да се справи, разопаковайте файла ръчно. Можете да научите за тънкостите на ръчното разопаковане на UPX тук:
Стъпка 7
Ако програмата е защитена от протектор, разберете нейната версия с помощта на програмата Protection ID. Стартирайте го, щракнете върху бутона "Сканиране", изберете програмата, от която се нуждаете. Щракнете върху бутона "Отваряне". Програмата ще ви даде информация за вида на протектора / пакера - ако тези опции за протектори и пакери са в нейната база данни.
