O ponto de entrada, ou Ponto de entrada, é o endereço no qual o comando a partir do qual o programa inicia a execução está localizado. Encontrar o ponto de entrada é uma das primeiras etapas na pesquisa de qualquer programa.
Instruções
Passo 1
Deve ser feita uma distinção entre EP (Entry Point) e OEP (Original Entry Point). O termo EP é usado no caso de um programa não empacotado (ou não protegido por um protetor). Se o programa estiver compactado / protegido, o lugar do Ponto de entrada será ocupado pelo primeiro comando do empacotador, portanto, você precisará encontrar o ponto de entrada original - OEP.
Passo 2
Você pode encontrar o Ponto de entrada, ou seja, o ponto de entrada em um programa descompactado, de maneiras diferentes. Por exemplo, use o programa Peid. Abra-o, clique no botão para selecionar o programa sob investigação na parte superior direita da janela. Para tentar, abra o Bloco de Notas (notepad.exe), ele está localizado no diretório: C: WINDOWSsystem32. Você verá o endereço do Ponto de entrada e outros detalhes.
etapa 3
Tente determinar o ponto de entrada usando o programa LordPE. Abra o programa, clique no botão Editor PE, selecione o arquivo notepad.exe e clique em OK. O ponto de entrada será listado na primeira linha.
Passo 4
Inicie o depurador Olly e abra notepad.exe nele. Depois de abrir o arquivo, o próprio depurador irá parar no Ponto de entrada, a linha com o endereço do ponto de entrada será destacada em cinza.
Etapa 5
Instale o PE Explorer. Execute-o, abra notepad.exe nele (Arquivo - Abrir arquivo). O endereço do ponto de entrada será listado na linha "Endereço do ponto de entrada".
Etapa 6
Se o programa estiver compactado, você deve primeiro descompactá-lo. Use o programa Peid para identificar o empacotador. Execute-o, abra o programa compactado nele. A linha "Seção EP" conterá um wrapper - por exemplo, UPX. Isso significa que para descompactar você precisará do UPX desta versão ou de um dos vários utilitários que permitem descompactar arquivos UPX compactados. Se nenhum dos utilitários puder lidar com isso, descompacte o arquivo manualmente. Você pode descobrir mais sobre os meandros da descompactação manual do UPX aqui:
Etapa 7
Se o programa estiver protegido por um protetor, descubra sua versão usando o programa Protection ID. Execute-o, clique no botão "Scan", selecione o programa que você precisa. Clique no botão "Abrir". O programa fornecerá informações sobre o tipo de protetor / empacotador - se essas opções para protetores e empacotador estiverem em seu banco de dados.
