作者jason3e7 (小绿)
看板ASM
标题[问题] 反组译询问
时间Wed Jul 21 17:26:15 2010
最近需要反组译一个win32的程式
所以从小程式开始练习反组译
没想到int main(){}
反组译出来之後重要的程式码约700行
不知从何看起
请问有人做过反组译可以给一些入门的意见吗?
或者针对我目前在看得这个小程式有一些建议
环境:win7
IDE:DEV-C++
程式内容:int main(){}
使用ollydbg反组译之後的组合语言程式码:
http://nopaste.csie.org/8a8c2
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 122.122.186.169
1F:推 zha0:c compiler 出来的东西会多加 sub routine, 你直接跳到 main 07/21 17:51
2F:→ zha0:去看 07/21 17:51
3F:→ jason3e7:是zha0耶 ^^ 前几天演讲很精彩 07/21 18:30
4F:→ jason3e7:不过你说的意思我还是不太懂 07/21 18:31
5F:推 suhorng:在进入main之前 CRT会先做初始化 07/21 22:40
6F:→ jason3e7:以上两位大大说的我了解意思 却不晓得如何实做 07/22 08:18
7F:→ jason3e7:因为不熟悉整个程式组成的基本架构 ex:程式入口点 07/22 08:22
8F:→ jason3e7:所以请问有文件可以参考吗? 07/22 08:25
9F:→ jason3e7:新手上路第一次做反组译请多多指教 >"< 07/22 08:26
10F:推 loveflames:400000是程式载入记忆体的位址 07/22 09:46
11F:推 loveflames:程式入口点看.text section的位址+base(=400000) 07/22 09:49
12F:推 loveflames:另外程式入口点不等於main的入口 07/22 09:50
13F:推 loveflames:这个例子main的位址应该是401290 07/22 10:00
14F:→ badyy:其实匪区有很多类似搞破解,外挂,资安论坛(For MS-Win) 07/22 15:52
15F:→ badyy:也有些人写了一些书,有尝"开班授课"也是也可能。 07/22 15:53
16F:→ badyy:就是你的动机是什麽了? 07/22 15:53
17F:推 suhorng:去查查PE(Portable Execution)的格式吧 里面有纪录exe档的 07/22 18:48
18F:→ suhorng:entry point 07/22 18:48
19F:→ jason3e7:感谢各位的回答 ^^ 07/22 19:09