Các dấu hiệu nào cho biết một địa chỉ là Entry Point?

LQV0604 — GMT

Mình cũng mới chỉ nghiên cứu về REA. Khi một phần mềm bị nén bởi một packer thì các Entry point sẽ bị dấu đi. Nếu muốn unpack thì phải tìm OEP. Vì vậy mình muốn biết các dấu hiệu để có thể xác định một địa chỉ nào đó có thể là một OEP.

Các dấu hiệu nào cho biết một địa chỉ là Entry Point?

gsmth — GMT

LQV0604 wrote:

Mình cũng mới chỉ nghiên cứu về REA. Khi một phần mềm bị nén bởi một packer thì các Entry point sẽ bị dấu đi. Nếu muốn unpack thì phải tìm OEP. Vì vậy mình muốn biết các dấu hiệu để có thể xác định một địa chỉ nào đó có thể là một OEP.

Có 1 số trường hợp có thể dựa vào phần mềm đó được compile bằng compiler nào.. để xác định OEP có thể đặt BP (break point) trên 1 hàm / 1 chuỗi byte nào đó đặc trưng cho compiler đó. Còn 1 số trường hợp khác, như protector sử dụng copy-mem II thì BP trên API: SetProcessWorkingSetSize Nói túm lại là cũng tùy hoàn cảnh để tìm OEP -:-)

Latest posts for the topic "Các dấu hiệu nào cho biết một địa chỉ là Entry Point?"

Các dấu hiệu nào cho biết một địa chỉ là Entry Point?

Các dấu hiệu nào cho biết một địa chỉ là Entry Point?