Το σημείο εισόδου, ή το σημείο εισόδου, είναι η διεύθυνση στην οποία βρίσκεται η εντολή από την οποία ξεκινά η εκτέλεση του προγράμματος. Η εύρεση του σημείου εισόδου είναι ένα από τα πρώτα βήματα στην έρευνα οποιουδήποτε προγράμματος.
Οδηγίες
Βήμα 1
Πρέπει να γίνει διάκριση μεταξύ EP (Σημείο εισόδου) και OEP (Original Point Entry Point). Ο όρος EP χρησιμοποιείται στην περίπτωση προγράμματος που δεν έχει συσκευαστεί (ή δεν προστατεύεται από προστατευτικό). Εάν το πρόγραμμα είναι συσκευασμένο / προστατευμένο, τότε η θέση του Σημείου Εισόδου λαμβάνεται με την πρώτη εντολή του συσκευαστή, οπότε πρέπει να βρείτε το αρχικό σημείο εισόδου - OEP.
Βήμα 2
Μπορείτε να βρείτε το σημείο εισόδου, δηλαδή το σημείο εισόδου σε ένα μη συσκευασμένο πρόγραμμα, με διαφορετικούς τρόπους. Για παράδειγμα, χρησιμοποιήστε το πρόγραμμα Peid. Ανοίξτε το, κάντε κλικ στο κουμπί για να επιλέξετε το πρόγραμμα που βρίσκεται υπό έρευνα στο επάνω δεξιό τμήμα του παραθύρου. Για να δοκιμάσετε, ανοίξτε το Σημειωματάριο (notepad.exe), βρίσκεται στον κατάλογο: C: WINDOWSsystem32. Θα δείτε τη διεύθυνση του σημείου εισόδου και άλλες λεπτομέρειες.
Βήμα 3
Προσπαθήστε να προσδιορίσετε το Entry Point χρησιμοποιώντας το πρόγραμμα LordPE. Ανοίξτε το πρόγραμμα, κάντε κλικ στο κουμπί PE Editor, επιλέξτε το αρχείο notepad.exe και κάντε κλικ στο OK. Το σημείο εισόδου θα εμφανίζεται στην πρώτη γραμμή.
Βήμα 4
Εκκινήστε το Olly debugger και ανοίξτε το notepad.exe σε αυτό. Μετά το άνοιγμα του αρχείου, το ίδιο το πρόγραμμα εντοπισμού σφαλμάτων θα σταματήσει στο Entry Point, η γραμμή με τη διεύθυνση σημείου εισόδου θα επισημανθεί με γκρι χρώμα.
Βήμα 5
Εγκαταστήστε την Εξερεύνηση PE. Εκτελέστε το, ανοίξτε το notepad.exe σε αυτό (Αρχείο - Άνοιγμα αρχείου). Η διεύθυνση σημείου εισόδου θα αναφέρεται στη γραμμή "Διεύθυνση σημείου εισόδου".
Βήμα 6
Εάν το πρόγραμμα είναι συσκευασμένο, πρέπει πρώτα να το αποσυσκευάσετε. Χρησιμοποιήστε το πρόγραμμα Peid για να προσδιορίσετε το πακέτο. Εκτελέστε το, ανοίξτε το συσκευασμένο πρόγραμμα σε αυτό. Η γραμμή "EP Section" θα περιέχει ένα περιτύλιγμα - για παράδειγμα, UPX. Αυτό σημαίνει ότι για να αποσυσκευάσετε θα χρειαστείτε το UPX αυτής της έκδοσης ή ένα από τα πολλά βοηθητικά προγράμματα που σας επιτρέπουν να αποσυσκευάσετε τα συσκευασμένα αρχεία UPX. Εάν κανένα από τα βοηθητικά προγράμματα δεν μπορεί να το χειριστεί, αποσυμπιέστε το αρχείο με μη αυτόματο τρόπο. Μπορείτε να μάθετε για τις περιπλοκές της χειροκίνητης αποσυσκευασίας UPX εδώ:
Βήμα 7
Εάν το πρόγραμμα προστατεύεται από ένα προστατευτικό, μάθετε την έκδοσή του χρησιμοποιώντας το πρόγραμμα προστασίας ταυτότητας. Εκτελέστε το, κάντε κλικ στο κουμπί "Σάρωση", επιλέξτε το πρόγραμμα που χρειάζεστε. Κάντε κλικ στο κουμπί "Άνοιγμα". Το πρόγραμμα θα σας δώσει πληροφορίες σχετικά με τον τύπο του προστατευτικού / συσκευαστή - εάν αυτές οι επιλογές για προστατευτικά και συσκευαστές βρίσκονται στη βάση δεδομένων του.
