结合我了解的vb5/6可执行文件的结构,说说如何定位其OEP。
任何反编译过vb程序的人,总会见到其OEP是如下结构:
//******************** Program Entry Point ********
:00401060 68B4114000 push 004011B4
:00401065 E8F0FFFFFF Call
对于以地址004011B4开始的一段代码,在vb程序结构中将之称为ExeInitStructure,保存着程序运行初始化所必须的资料;而其也必定是以特征字符“VB5!”开始。所以对于被加壳的vb5/6程序,可以运行后用winhex搜索内存,查到“VB5!”地址,在此为004011B4,再搜索hex值“B4114000”,即搜索到地址00401061,将此地址-1就是OEP:00401060
此外,利用vb函数addressof我们可以作一些研究工作。
建立一个vb标准exe工程,去除form,加入一个.bas文件,于中写入
Attribute VB_Name = "Module1"
Private Sub Main()
Dim a As Long, c As Long
c = getaddress(a, AddressOf Main)
MsgBox ("Start address of Main() is " + Hex(a - 16))
End Sub
Public Function getaddress(a As Long, X As Long)
a = X + 16
End Function
编译后运行,可以显示sub Main()代码的起始地址。有兴趣的不妨研究研究,看看如何突破addressof的局限,或找到替代函数
|
|