Reverseanalysis:commonprogramentrypoint(OEP)featuresummary

核心提示：文件大小：55推ebp8bec mov ebp，esp83c4 F0 add esp，- 10b8 a86f4b00 MOV。

Delphi：
55推电子书

8bec MOV EBP，ESP

83c4 F0 add esp，10

B8 a86f4b00 mov eax，pe.004b6fa8

VC++

55推电子书

8bec MOV EBP，ESP

83ec 44个子ESP，44

56推ESI
VC6.0

55推电子书

8bec MOV EBP，ESP

6A推- 1
VC7.0
6A 70推70

6850110001推hh.01001150

E8 1d020000叫hh.010017b0

33db异或ebx，EBX
Vb：

00401166 &ndash；FF25 6c104000 JMP DWORD PTR DS：{ }；msvbvm60.thunrtmain

0040116c > 68 147c4000推packme.00407c14

00401171 E8 f0ffffff呼叫

004011760000添加BYTE PTR DS：{中}，AL

004011780000添加BYTE PTR DS：{中}，AL

0040117a 0000添加BYTE PTR DS：{中}，AL

0040117c 3000异或BYTE PTR DS：{中}，AL

公元前+ +

0040163c > $ / EB 10 JMP短bclock.0040164e

0040163e | 66分贝66；焦frsquo &lsquo；

0040163f | 62分贝62；焦brsquo &lsquo；

00401640 | 3a DB 3A；字符'：'；

00401641 | 43分贝43；焦&lsquo；Crsquo；

00401642 | 2b DB 2B；字符' + '；

00401643 | 2b DB 2B；字符' + '；

00401644 | 48分贝48；焦&lsquo；Hrsquo；

00401645 | 4f DB 4f char &lsquo；Orsquo；

00401646 | 4f DB 4f char &lsquo；Orsquo；

00401647 | 4b DB 4b char &lsquo；Krsquo；

00401648 | 90 NOP

00401649 | E9 DB E9

0040164a。| 98e04e00 DD ___cppdebughook偏移进行时。

0040164e > A1 8be04e00 mov eax，DWORD PTR DS：{ 4ee08b }

401653 c1e0 02 SHL eax，2

401656 A3 8fe04e00 MOV DWORD PTR DS：{ 4ee08f }，EAX

0040165b 52推EDX。

0040165c。6A 00推0； / pmodule = null

0040165e。E8 dfbc0e00呼叫； getmodulehandlea

00401663.8bd0 mov eax edx
Dasm：
> / 00401000美元6A 00推0； / pmodule = null

00401002 |。E8 c50a0000呼叫； getmodulehandlea

00401007 A3 0c354000 MOV DWORD PTR DS：{ 40350c } |，eax。

0040100c |。E8 b50a0000呼叫；{ getcommandlinea

00401011 A3 10354000 MOV DWORD PTR DS：{ 403510 } |，eax。

00401016 |。6a 0a推0a； / ARG4 = 0000000

00401018 ff35推DWORD PTR DS：{ 403510 } |。10354000；| ARG3 = 00000000

0040101e |。6A 00推0；| arg2 = 00000000

00401020 ff35 0c354000推DWORD PTR DS：{ 40350c } |；| arg1 = 00000000。

uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b

看到这里，你应该问：那你怎么安装呢让我们简单地介绍以下内容：
1，增加了128个字节的空间与拓扑{注：个人喜好}，

2、进入lordpe体育编辑，打开Target.exe，

对the.topo0段的名称更改为文本，它更像是一个点{注：你也可以改变你的个性，你的名字，不影响结果}
写下VOffset：13000，改变入口点到value.ollydbg负载target.exe，我们来个例外。
拉上卷轴，转到413000重新编写代码：

uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b

伪造vc++入码功能

uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b uff0b
push ebp

MOV EBP，ESP

推- 1

推666666
推888888

mov eax，FS：{ 0 }

压入

MOV FS：{ 0 }，ESP

再下来

流行中

MOV EAX FS：{ 0 }，

流行中

流行中

流行中

流行中

mov ebp，eax
别忘了JMP 405000，即壳的入口点。右键并保存为newtarget.exe选择修改的代码。
PEiD检测：微软Visual C++，和正常运行，任务完成

Reverseanalysis:commonprogramentrypoint(OEP)featuresummary 浏览：652