Инструкция
1
Следует различать EP (Entry Point) и OEP (Original Entry Point). Термин EP используется в случае с не запакованной (или не защищенной протектором) программой. Если программа упакована/защищена, то место Entry Point занимает первая команда упаковщика, поэтому необходимо найти оригинальную точку входа – OEP.
2
Найти Entry Point, то есть точку входа в не запакованной программе, можно разными способами. Например, воспользуйтесь программой Peid. Откройте ее, нажмите в правой верхней части окна кнопку выбора исследуемой программы. Для пробы откройте Блокнот (notepad.exe), он находится в директории: C:WINDOWSsystem32. Вы увидите адрес Entry Point и другие данные.
3
Попробуйте определить Entry Point с помощью программы LordPE. Откройте программу, нажмите кнопку PE Editor, выберите файл notepad.exe и нажмите ОК. Адрес Entry Point будет указан в первой строке.
4
Запустите отладчик Olly debugger и откройте в нем файл notepad.exe. После открытия файла отладчик сам остановится на Entry Point, строка с адресом точки входа будет выделена серым цветом.
5
Установите программу PE Explorer. Запустите ее, откройте в ней notepad.exe (File – Open file). Адрес точки входа будет указан в строке «Address of Entry Point».
6
Если программа упакована, сначала надо ее распаковать. Для определения упаковщика воспользуйтесь программой Peid. Запустите ее, откройте в ней запакованную программу. В строке «EP Section» будет указан упаковщик – например, UPX. Значит, для распаковки вам понадобится UPX данной версии или одна из многочисленных утилит, позволяющих распаковывать упакованные UPX файлы. Если ни одна утилита не справляется, распакуйте файл вручную. О тонкостях ручной распаковки UPX вы можете узнать здесь: http://forum.antichat.ru/thread28212.html
7
Если программа защищена протектором, узнайте его версию с помощью программы Protection ID. Запустите ее, нажмите кнопку «Scan», выберите нужную вам программу. Нажмите кнопку «Открыть». Программа выдаст вам информацию о типе протектора/упаковщика – в том случае, если данные варианты протекторов и упаковщиков есть в ее базе.
Видео по теме
Обратите внимание
Не забывайте о том, что взлом чужих программ является уголовно наказуемым преступлением.
Источники:
- Портал исследования программ