Le point d'entrée, ou Entry Point, est l'adresse à laquelle se trouve la commande à partir de laquelle le programme commence l'exécution. Trouver le point d'entrée est l'une des premières étapes de la recherche d'un programme.
Instructions
Étape 1
Une distinction doit être faite entre EP (Entry Point) et OEP (Original Entry Point). Le terme EP est utilisé dans le cas d'un programme décompressé (ou non protégé par un protecteur). Si le programme est compressé / protégé, la place du point d'entrée est prise par la première commande du programme de compression, vous devez donc trouver le point d'entrée d'origine - OEP.
Étape 2
Vous pouvez trouver le point d'entrée, c'est-à-dire le point d'entrée dans un programme décompressé, de différentes manières. Par exemple, utilisez le programme Peid. Ouvrez-le, cliquez sur le bouton de sélection du programme en cours d'investigation dans la partie supérieure droite de la fenêtre. Pour essayer, ouvrez le Bloc-notes (notepad.exe), il se trouve dans le répertoire: C:WINDOWSsystem32. Vous verrez l'adresse du point d'entrée et d'autres détails.
Étape 3
Essayez de déterminer le point d'entrée à l'aide du programme LordPE. Ouvrez le programme, cliquez sur le bouton PE Editor, sélectionnez le fichier notepad.exe et cliquez sur OK. Le point d'entrée sera indiqué sur la première ligne.
Étape 4
Lancez le débogueur Olly et ouvrez notepad.exe dedans. Après avoir ouvert le fichier, le débogueur lui-même s'arrêtera au point d'entrée, la ligne avec l'adresse du point d'entrée sera surlignée en gris.
Étape 5
Installez PE Explorer. Exécutez-le, ouvrez notepad.exe dedans (Fichier - Ouvrir le fichier). L'adresse du point d'entrée sera répertoriée dans la ligne « Adresse du point d'entrée ».
Étape 6
Si le programme est compressé, vous devez d'abord le décompresser. Utilisez le programme Peid pour identifier l'emballeur. Exécutez-le, ouvrez le programme compressé qu'il contient. La ligne "EP Section" contiendra un wrapper - par exemple, UPX. Cela signifie que pour décompresser vous aurez besoin de l'UPX de cette version ou de l'un des nombreux utilitaires qui vous permettent de décompresser les fichiers UPX compressés. Si aucun des utilitaires ne peut le gérer, décompressez le fichier manuellement. Vous pouvez découvrir les subtilités du déballage manuel UPX ici:
Étape 7
Si le programme est protégé par un protecteur, découvrez sa version à l'aide du programme Protection ID. Exécutez-le, cliquez sur le bouton "Scan", sélectionnez le programme dont vous avez besoin. Cliquez sur le bouton "Ouvrir". Le programme vous donnera des informations sur le type de protecteur / packer - si ces options pour les protecteurs et les packers sont dans sa base de données.
