Hello, world of reverse!
start函数它在执行一些初始化操作,如获取命令行参数、获取环境变量值、初始化全局变量等,一切准备工作完成之后,再调用main函数
快速定位关键函数:
-
长驱直入法:当程序功能非常明确时,从程序入口处一步步分析,逐条执行指令,直到找到关键函数
-
字符串查找法:可以通过查找字符串来确定main函数的位置
IDA PRO:Shift F12 + x + F5
OllyDbg:直接右键查找,双击字符串即可来到main函数位置
-
API引用法:有些功能需要通过调用 Win32API来实现,认真观察一个程序的功能后, 能够大致推测出它在运行时调用了哪些Win32 API 以HelloWorld程序为例,它在运行时会弹出一 个消息窗口,因此推断出改程序调用了MessageBox函数,通过查找哪里调用了该API即可确定关键函数的位置。
ida pro:双击交叉引用
OllyDbg:直接右键查找,双击方法即可来到main函数位置
-
API断点法:用OD加载目标程序,鼠标右键菜单—>查找—> 当前模块中的名称,或者用“ctrl + n”快捷键,设置断点,F9运行程序,便会在关键函数处停下来
