发表日期: 2021-04-30 11:01:39 浏览次数:143
长垣400电话申请开通【长垣企业网站建设】长垣微信公众号小程序开发运营价格、长垣微信公众号APP软件客户端设计运营、长垣网页页面设计公司费用、长垣公司网站制作方案流程改版维护大概需要多少钱
长垣市,河南省辖县级市,新乡市代管, [1] 位于豫东北地区,介于东经114°29'—114°59'、北纬34°59'—35°23'之间,总面积1051平方千米。 [2] 截至2020年6月,长垣市下辖5个街道、11镇、2乡, [3] 总人口88.18万人(2019年)。 [4] 市政府驻蒲西街道人民路368号。 [1]
前221年,秦改首邑为长垣县。2019年8月,河南省撤销长垣县,设立县级长垣市。 [1] 属暖温带大陆性季风型气候。 [2] 长济高速、大庆—广州高速公路、济东高速公路、新菏铁路、省道308线、213线穿境而过。
长垣市是全国文明城市 [5] 、国家园林县城 [6] 、国家新型城镇化综合试点地区 [7] 、全国科普示范区 [8] 、节水型社会建设达标县 [9] 、国家农产品质量安全县 [10] 、全国农村创新创业典型县 [11] 、革命文物保护利用片区分县。 [12]
使用工具:CFF、PETool、IDA、WinHex;
有一个老哥问我OEP和EP的知识点,睡意朦胧中回复的可能不太清晰,水一帖论述一下问题;
先说结论:
EP:原名EnterPointer,就是入口点的意思,对应的是PE文件中的AddressOfEntryPoint字段,这里的字段是一个RVA(理解就是在内存中从ImageBase(依旧是PE文件中的字段)开始算起的偏移大小),这里是程序的入口点 ;
OEP:原名OriginEnterPointer,就是原始入口点的意思;
有了入口点,为什么还要有一个原始入口点呢?
一般有两种情况:
一种就是程序被加壳了,EP的位置被写成了别的地址,在运行程序之前,先跳转运行解壳或者检测程序,然后再跳转到原本我们正确的程序入口地址(OEP);
一种情况就是入口点被hook(劫持),同样的道理;
说完结论,我们来看一下老哥的问题,我从老哥那要来的工具PETool,查看一下[原创] 小试牛刀·手动构建HelloWorld弹窗可执行文件中制作的文件,或者随便找个可执行文件 ;
入口点EP(RVA)显示的0x00001080,我们再使用CFF看一看;
这两个地址是一样的;
那么在PETool中的OEP指的是啥呢?
原来PETool工具中的OEP指的是EP在文件中的偏移位置,跟真正OEP没有太大的关系,所以才会用RAW注明;
其实,工具中RVA和RAW已经说的很清楚了;
所以,这就是一场乌龙
对于这个程序有没有加壳,还是需要更细致的跟程序,或者使用PEiD以及exeinfoPE之类的工具了;
说到OEP,不得不说一下常见入口点OEP特征;
这里我们不能使用手动制作的文件了,先用VC++写一个helloworld吧;
这就是我们用VC++编译器的入口特征;
在一般情况下,我们可以通过常见的入口特征来查找在程序中藏匿的程序(并不能用来查找shellcode,因为shellcode是硬编码,没有程序入口);
还有一些其它编译器的入口特征,可以自行百度或者实验;
因为我搜到的入口特征并没有得到我自己的验证(没有安装相应编译环境),所以我就不放在这个帖子上了,有兴趣的兄die可以自行实验;
帖子写的匆忙,有不完善之处还请指出;
不得感叹,IT太脆弱了,一停电只能干着急;
长垣400电话申请开通【长垣企业网站建设】长垣微信公众号小程序开发运营价格、长垣微信公众号APP软件客户端设计运营、长垣网页页面设计公司费用、长垣公司网站制作方案流程改版维护大概需要多少钱
