出處：http://hi.baidu.com/0soul/blog/item/b62f8f08c2c3c42c6b60fbbe.html

先聲明下：這個和脫殼沒關(guān)系，不是找殼里面的程序入口哦，只是程序本身的入口，個別朋友不要誤會哈。

其實這個應(yīng)該是基礎(chǔ)，但我經(jīng)常找入口的時候翻半天......所以還是記錄下來，萬一時間久了又犯迷糊的時候可以查閱，呵呵。

一般用OllyDBG打開程序的時候，并不是直接定位到程序入口，而是還要先進(jìn)行一系列的初始化工作，但做這些工作的反匯編代碼我們是不需要的，所以我們要快速跳過，直接到程序入口。

我先把方法寫出來，然后再簡單分析一下初始化的時候都干了什么。

1.一路F8下去，分別步過下列兩個函數(shù)：
call dword ptr ds:[<&KERNEL32.GetVersion>]???????????? ; kernel32.GetVersion
call dword ptr ds:[<&KERNEL32.GetCommandLineA>]??????? ; kernel32.GetCommandLineA

2.GetCommandLineA下面會有好幾個Call，第1個Call完了后隔一行以后會有連續(xù)的3個Call，連續(xù)的3個Call完了后再往下遇到的一個Call就是程序入口的Call了。
也就是，從GetCommandLineA往下數(shù)(不包括GetCommandLineA本身)，第5個Call一般就是程序入口點(diǎn)的Call，F7進(jìn)去就可以了。

PS：如果是用IDA5反匯編的話，我們點(diǎn)一下“_main proc near”處，然后 Run to cursor(F4)一下基本會直接定位到入口處。

方法很簡單，那來看看在進(jìn)入程序入口之前，都干了些什么吧。
下面這個是剛用OllyDBG打開程序的截圖。

?

可以看到，第一個Call就是GetVersion，很好理解，就是獲得Windows版本號。

繼續(xù)往下。

?

看看我選定的部分，其中有5個Call，最后一個就是我們前面所找的入口處，前面的四個Call的函數(shù)分別是:
__crtGetEnvironmentStringsA
_setargv()
_setenvp()
_cinit()

需要注意的是，很多反匯編代碼里面，后面的這三個函數(shù)名都不會被直接顯示出來，而是顯示的函數(shù)地址。

__crtGetEnvironmentStringsA我猜是GetEnvironmentStringsA()的宏定義名稱(如果有錯還請指出)。
GetEnvironmentStringsA()的作用是返回環(huán)境變量。
http://msdn.microsoft.com/en-us/library/ms683187(VS.85).aspx

_setargv()通過函數(shù)名就可以看出，是用來處理命令行參數(shù)的。
_setenvp()同樣是處理環(huán)境變量的。
這兩個函數(shù)的作用效果是把參數(shù)和環(huán)境變量保存到附近的可用“堆(heap)”里面，方便使用。

_cinit()的作用就是當(dāng)檢測到我們的參數(shù)覆蓋了返回地址，能造成緩沖區(qū)溢出的時候報錯并退出程序。平時我們遇到的討厭的“遇到問題需要關(guān)閉”貌似就是這玩意搞的。
http://msdn.microsoft.com/en-us/library/ms924298.aspx
下面這個是用的微軟官方測試代碼的效果截圖。

Author:zerosoul(零魂)

總結(jié)

以上是生活随笔為你收集整理的OllyDBG反汇编快速找到程序入口一点分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。