作者jason3e7 (小綠)
看板ASM
標題[問題] 反組譯詢問
時間Wed Jul 21 17:26:15 2010
最近需要反組譯一個win32的程式
所以從小程式開始練習反組譯
沒想到int main(){}
反組譯出來之後重要的程式碼約700行
不知從何看起
請問有人做過反組譯可以給一些入門的意見嗎?
或者針對我目前在看得這個小程式有一些建議
環境:win7
IDE:DEV-C++
程式內容:int main(){}
使用ollydbg反組譯之後的組合語言程式碼:
http://nopaste.csie.org/8a8c2
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 122.122.186.169
1F:推 zha0:c compiler 出來的東西會多加 sub routine, 你直接跳到 main 07/21 17:51
2F:→ zha0:去看 07/21 17:51
3F:→ jason3e7:是zha0耶 ^^ 前幾天演講很精彩 07/21 18:30
4F:→ jason3e7:不過你說的意思我還是不太懂 07/21 18:31
5F:推 suhorng:在進入main之前 CRT會先做初始化 07/21 22:40
6F:→ jason3e7:以上兩位大大說的我瞭解意思 卻不曉得如何實做 07/22 08:18
7F:→ jason3e7:因為不熟悉整個程式組成的基本架構 ex:程式入口點 07/22 08:22
8F:→ jason3e7:所以請問有文件可以參考嗎? 07/22 08:25
9F:→ jason3e7:新手上路第一次做反組譯請多多指教 >"< 07/22 08:26
10F:推 loveflames:400000是程式載入記憶體的位址 07/22 09:46
11F:推 loveflames:程式入口點看.text section的位址+base(=400000) 07/22 09:49
12F:推 loveflames:另外程式入口點不等於main的入口 07/22 09:50
13F:推 loveflames:這個例子main的位址應該是401290 07/22 10:00
14F:→ badyy:其實匪區有很多類似搞破解,外掛,資安論壇(For MS-Win) 07/22 15:52
15F:→ badyy:也有些人寫了一些書,有嘗"開班授課"也是也可能。 07/22 15:53
16F:→ badyy:就是你的動機是什麼了? 07/22 15:53
17F:推 suhorng:去查查PE(Portable Execution)的格式吧 裡面有紀錄exe檔的 07/22 18:48
18F:→ suhorng:entry point 07/22 18:48
19F:→ jason3e7:感謝各位的回答 ^^ 07/22 19:09