El punt d'entrada, o punt d'entrada, és l'adreça on es troba l'ordre des del qual s'inicia l'execució del programa. Trobar el punt d’entrada és un dels primers passos per investigar qualsevol programa.
Instruccions
Pas 1
Cal distingir entre EP (punt d’entrada) i OEP (punt d’entrada original). El terme EP s’utilitza en el cas d’un programa sense embalar (o no protegit per un protector). Si el programa està empaquetat / protegit, la primera ordre del paquetador ocupa el lloc del punt d’entrada, de manera que heu de trobar el punt d’entrada original: OEP.
Pas 2
Podeu trobar el punt d’entrada, és a dir, el punt d’entrada en un programa sense embalar, de diferents maneres. Per exemple, utilitzeu el programa Peid. Obriu-lo, feu clic al botó per seleccionar el programa que s'està investigant a la part superior dreta de la finestra. Per provar, obriu Bloc de notes (notepad.exe), es troba al directori: C: WINDOWSsystem32. Veureu l’adreça del punt d’entrada i altres detalls.
Pas 3
Proveu de determinar el punt d’entrada mitjançant el programa LordPE. Obriu el programa, feu clic al botó Editor de PE, seleccioneu el fitxer notepad.exe i feu clic a D'acord. El punt d’entrada apareixerà a la primera línia.
Pas 4
Inicieu el depurador Olly i obriu-lo notepad.exe. Després d'obrir el fitxer, el depurador mateix s'aturarà al punt d'entrada, la línia amb l'adreça del punt d'entrada es ressaltarà en gris.
Pas 5
Instal·leu PE Explorer. Executeu-lo, obriu-lo notepad.exe (Fitxer - Obre el fitxer). L'adreça del punt d'entrada apareixerà a la línia "Adreça del punt d'entrada".
Pas 6
Si el programa està ple, primer heu de desempaquetar-lo. Utilitzeu el programa Peid per identificar l’envasador. Executeu-lo, obriu-hi el programa ple. La línia "Secció EP" contindrà un embolcall, per exemple, UPX. Això vol dir que per desempaquetar necessitareu l’UPX d’aquesta versió o una de les moltes utilitats que us permeten desempaquetar fitxers UPX empaquetats. Si cap de les utilitats no ho pot gestionar, desempaqueteu el fitxer manualment. Podeu obtenir informació sobre les complexitats de la descompressió manual d’UPX aquí:
Pas 7
Si el programa està protegit per un protector, esbrineu-ne la versió amb el programa Protection ID. Executeu-lo, feu clic al botó "Escaneja" i seleccioneu el programa que necessiteu. Feu clic al botó "Obre". El programa us proporcionarà informació sobre el tipus de protector / empaquetador, si aquestes opcions per a protectors i empaquetadors es troben a la seva base de dades.
