Der Einstiegspunkt oder Einstiegspunkt ist die Adresse, an der sich der Befehl befindet, von dem aus die Programmausführung beginnt. Das Finden des Einstiegspunkts ist einer der ersten Schritte bei der Recherche eines Programms.
Anweisungen
Schritt 1
Dabei ist zwischen EP (Entry Point) und OEP (Original Entry Point) zu unterscheiden. Der Begriff EP wird im Fall eines entpackten (oder nicht durch einen Protektor geschützten) Programms verwendet. Wenn das Programm gepackt / geschützt ist, wird der Einstiegspunkt durch den ersten Befehl des Packers ersetzt, sodass Sie den ursprünglichen Einstiegspunkt - OEP - finden müssen.
Schritt 2
Sie können den Einstiegspunkt, d. h. den Einstiegspunkt in einem entpackten Programm, auf verschiedene Weise finden. Verwenden Sie beispielsweise das Peid-Programm. Öffnen Sie es, klicken Sie oben rechts im Fenster auf die Schaltfläche zur Auswahl des zu untersuchenden Programms. Um es zu versuchen, öffnen Sie Notepad (notepad.exe), es befindet sich im Verzeichnis: C: WINDOWSsystem32. Sie sehen die Adresse des Einstiegspunkts und andere Details.
Schritt 3
Versuchen Sie, den Einstiegspunkt mit dem LordPE-Programm zu bestimmen. Öffnen Sie das Programm, klicken Sie auf die Schaltfläche PE-Editor, wählen Sie die Datei notepad.exe aus und klicken Sie auf OK. Der Einstiegspunkt wird in der ersten Zeile aufgeführt.
Schritt 4
Starten Sie den Olly-Debugger und öffnen Sie notepad.exe darin. Nach dem Öffnen der Datei stoppt der Debugger selbst am Einstiegspunkt, die Zeile mit der Einstiegspunktadresse wird grau hervorgehoben.
Schritt 5
Installieren Sie PE-Explorer. Führen Sie es aus, öffnen Sie notepad.exe darin (Datei - Datei öffnen). Die Adresse des Einstiegspunkts wird in der Zeile "Adresse des Einstiegspunkts" aufgeführt.
Schritt 6
Wenn das Programm gepackt ist, müssen Sie es zuerst entpacken. Verwenden Sie das Peid-Programm, um den Packer zu identifizieren. Führen Sie es aus, öffnen Sie das darin gepackte Programm. Die Zeile "EP Section" enthält einen Wrapper - zum Beispiel UPX. Das bedeutet, dass Sie zum Entpacken das UPX dieser Version oder eines der vielen Dienstprogramme benötigen, mit denen Sie gepackte UPX-Dateien entpacken können. Wenn keines der Dienstprogramme damit umgehen kann, entpacken Sie die Datei manuell. Sie können sich hier über die Feinheiten des manuellen UPX-Entpackens informieren:
Schritt 7
Wenn das Programm durch einen Beschützer geschützt ist, ermitteln Sie seine Version mithilfe des Programms Protection ID. Führen Sie es aus, klicken Sie auf die Schaltfläche "Scannen", wählen Sie das gewünschte Programm aus. Klicken Sie auf die Schaltfläche "Öffnen". Das Programm gibt Ihnen Informationen über den Typ des Protectors / Packers - wenn diese Optionen für Protector und Packer in seiner Datenbank vorhanden sind.
