Titik masuk, atau Entry Point, adalah alamat di mana arahan dari mana program memulakan pelaksanaan berada. Mencari titik masuk adalah salah satu langkah pertama dalam meneliti sebarang program.
Arahan
Langkah 1
Perbezaan harus dibuat antara EP (Entry Point) dan OEP (Original Entry Point). Istilah EP digunakan untuk program yang belum dibungkus (atau tidak dilindungi oleh pelindung). Sekiranya program dikemas / dilindungi, maka tempat Entry Point diambil oleh arahan pertama dari packer, jadi anda perlu mencari titik masuk yang asal - OEP.
Langkah 2
Anda boleh mendapatkan Entry Point, iaitu titik masuk dalam program yang belum dibungkus, dengan cara yang berbeza. Contohnya, gunakan program Peid. Buka, klik butang untuk memilih program yang disiasat di bahagian kanan atas tetingkap. Untuk mencuba, buka Notepad (notepad.exe), ia terletak di direktori: C: WINDOWSsystem32. Anda akan melihat alamat Entry Point dan maklumat lain.
Langkah 3
Cuba tentukan Entry Point menggunakan program LordPE. Buka program, klik butang PE Editor, pilih fail notepad.exe dan klik OK. Titik Masuk akan disenaraikan di baris pertama.
Langkah 4
Lancarkan Olly debugger dan buka notepad.exe di dalamnya. Setelah membuka fail, debugger itu sendiri akan berhenti di Entry Point, garis dengan alamat titik masuk akan diserlahkan dengan warna kelabu.
Langkah 5
Pasang Penjelajah PE. Jalankan, buka notepad.exe di dalamnya (Fail - Buka fail). Alamat titik masuk akan disenaraikan di baris "Alamat Titik Masuk".
Langkah 6
Sekiranya program dikemas, anda mesti membongkarnya terlebih dahulu. Gunakan program Peid untuk mengenal pasti pembungkus. Jalankan, buka program yang dikemas di dalamnya. Garis "Bahagian EP" akan mengandungi pembungkus - contohnya, UPX. Ini bermaksud bahawa untuk membongkar, anda memerlukan UPX versi ini atau salah satu daripada banyak utiliti yang membolehkan anda membongkar fail UPX yang dibungkus. Sekiranya tidak ada utiliti yang dapat mengatasinya, bongkar fail secara manual. Anda boleh mengetahui tentang selok-belok pembongkaran UPX manual di sini:
Langkah 7
Sekiranya program dilindungi oleh pelindung, cari versi menggunakan program ID Perlindungan. Jalankan, klik butang "Scan", pilih program yang anda perlukan. Klik butang "Buka". Program ini akan memberi anda maklumat mengenai jenis pelindung / pembungkus - jika pilihan untuk pelindung dan pembungkus ini ada dalam pangkalan data.
