Кіру нүктесі немесе Entry Point - бұл бағдарлама орындала бастайтын команда орналасқан адрес. Кіру нүктесін табу - кез-келген бағдарламаны зерттеудің алғашқы қадамдарының бірі.
Нұсқаулық
1-қадам
EP (Entry Point) және OEP (Original Entry Point) арасындағы айырмашылықты анықтау керек. БӨ термині қаптамадан шығарылған (немесе қорғаушымен қорғалмаған) жағдайда қолданылады. Егер бағдарлама оралған / қорғалған болса, онда Енгізу нүктесінің орны пакердің бірінші командасы бойынша қабылданады, сондықтан сізге бастапқы кіру нүктесін - OEP табу керек.
2-қадам
Сіз кіру нүктесін, яғни кіру нүктесін оралмаған бағдарламадан әр түрлі жолмен таба аласыз. Мысалы, Peid бағдарламасын қолданыңыз. Оны ашыңыз, терезенің жоғарғы оң жағындағы зерттеліп жатқан бағдарламаны таңдау батырмасын басыңыз. Блокнотты ашып көріңіз (notepad.exe), ол каталогта орналасқан: C: WINDOWSsystem32. Сіз кіру нүктесінің мекен-жайын және басқа мәліметтерді көресіз.
3-қадам
LordPE бағдарламасының көмегімен кіру нүктесін анықтауға тырысыңыз. Бағдарламаны ашып, PE редакторы батырмасын басыңыз, notepad.exe файлын таңдап, ОК батырмасын басыңыз. Кіру нүктесі бірінші жолда жазылады.
4-қадам
Olly отладкасын іске қосып, онда notepad.exe файлын ашыңыз. Файлды ашқаннан кейін түзеткіштің өзі енгізу нүктесінде тоқтайды, енгізу нүктесінің адресі бар жол сұр түспен белгіленеді.
5-қадам
PE Explorer бағдарламасын орнатыңыз. Оны іске қосыңыз, notepad.exe файлын ашыңыз (Файл - Файлды ашыңыз). Кіру нүктесінің мекен-жайы «Кіру нүктесінің мекен-жайы» жолында тізімделеді.
6-қадам
Егер бағдарлама оралған болса, алдымен оны орап алу керек. Пакерді анықтау үшін Peid бағдарламасын қолданыңыз. Оны іске қосыңыз, ішіндегі бағдарламаны ашыңыз. «БӨ бөлімі» жолында қаптама болады - мысалы, UPX. Бұл дегеніміз, орамадан шығару үшін сізге осы нұсқаның UPX немесе оралған UPX файлдарын шығаруға мүмкіндік беретін көптеген утилиталардың бірі қажет болады. Егер утилиталардың ешқайсысы оны шеше алмаса, файлды қолмен шығарыңыз. UPX-ті қолмен ашудың қыр-сыры туралы мына жерден біле аласыз:
7-қадам
Егер бағдарлама протектормен қорғалған болса, оның идентификациялық бағдарламасын пайдаланып оның нұсқасын біліп алыңыз. Оны іске қосыңыз, «Сканерлеу» батырмасын басыңыз, қажет бағдарламаны таңдаңыз. «Ашу» батырмасын басыңыз. Бағдарлама сізге протектор / пакер типі туралы ақпарат береді - егер қорғаушылар мен бумалаушыларға арналған опциялар оның мәліметтер базасында болса.
