两种方法获取文件OEP - huobengle - ITeye博客

`

huobengle

浏览: 864039 次

最近访客更多访客>>

u012363178

Amyxiu

tangang

Ms.朱

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

全部博客 (1289)

社区版块

存档分类

2012-02 ( 2)
2012-01 ( 112)
2011-12 ( 49)
更多存档...

最新评论

咖啡骑士： kao,真行，解决了我的问题，谢谢！
JBoss ERROR [URLDeploymentScanner] Incomplete Deployment listing：--- MBeans waiting for other MBeans --- 的解决办法
anity：你试过吗？？？？
在Android系统中调用系统前置摄像头
liuqun_567： http://liuqun-567.iteye.com/blo ...
用纯CSS3实现Path华丽动画
lenomon：上面讲的还可以，可以看看这篇Android2.2及2.3版本调 ...
在Android系统中调用系统前置摄像头
技术宅男： GeoLiteCity和Geoip，他们的区别是什么？感觉功能 ...
使用GEOIP进行用户IP的分析

两种方法获取文件OEP

阅读更多

读取的字段都是一样的，只是一个直接从PE文件中读取，一个映射到内存后再读取

1.文件直接访问法

2.通过内存映射读取

BOOL ReadOEPByMemory(LPCTSTR szFileName)
{
	HANDLE hFile;
	HANDLE hMapping;
	PVOID pBaseAddr;
	if ((hFile=CreateFile(szFileName,GENERIC_READ,FILE_SHARE_READ,
		0,OPEN_EXISTING,FILE_FLAG_SEQUENTIAL_SCAN,0))==INVALID_HANDLE_VALUE)
	{
		AfxMessageBox(_T("打开文件失败！"));
		return FALSE;
	}
	//创建内存映射文件
	if (!(hMapping=CreateFileMapping(hFile,0,PAGE_READONLY|SEC_COMMIT,0,0,0)))
	{
		AfxMessageBox(_T("Mapping failed."));
		CloseHandle(hFile);
		return FALSE;
	}
	//把文件映像存入pBaseAddr
	if (!(pBaseAddr=MapViewOfFile(hMapping,FILE_MAP_READ,0,0,0)))
	{
		AfxMessageBox(_T("View Failed."));
		CloseHandle(hMapping);
		CloseHandle(hFile);
		return FALSE;
	}
	IMAGE_DOS_HEADER *dos_header=(IMAGE_DOS_HEADER *)pBaseAddr;
	IMAGE_NT_HEADERS *nt_header=(IMAGE_NT_HEADERS *)((DWORD)pBaseAddr+dos_header->e_lfanew);
	DWORD dwOEP=nt_header->OptionalHeader.AddressOfEntryPoint;
	//清除内存映射和关闭文件
	UnmapViewOfFile(pBaseAddr);
	CloseHandle(hMapping);
	CloseHandle(hFile);

CString strOEP;
	strOEP.Format(_T("OEP:0x%X"),dwOEP);
	AfxMessageBox(strOEP);
	return TRUE;
}

第二种方法要注意DOS STUP与PE头不一定是紧挨着的，一定要通过(DWORD)pBaseAddr+dos_header->e_lfanew定位到IMAGE_NT_HEADERS

如果还要读入口点的代码或其它东西，把PAGE_READONLY|SEC_COMMIT换成PAGE_READONLY|SEC_COMMIT|SEC_IMAGE会给你带来很大的便利

谢谢列宁。

分享到：

4.CString常用操作 | POJ2823 - 线段树求区间的最值..

2011-08-23 15:42
浏览 603
评论(0)
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

读取PE文件OEP值: 使用三种方法读出PE文件的oep值：文件流、文件读写函数、内存映射。带源码，程序在delphi 7+WinXP sp2 下编译通过

七种OD查找oep的方法: 七种OD查找oep的方法单步跟踪法 ESP定律法内存镜像法一步到达OEP 最后一次异常法模拟跟踪法 “SFX”法

显示.exe文件的OEP: 此工程已在VC++6.0下测试通过,用于显示指定.exe文件的入口(OEP)

OEP.rar_OEP_visual c: 读取PE文件OEP值，带源码，VC++编写

oep查找.exe: ( oep查找.exe )( oep查找.exe )

常见寻找OEP的方法: 现在很多软件都加入了壳希望这个能帮助新手更容易的找到壳的入口

常用OEP.zip: 各类语言OEP速查

程序OEP入口特征: 常用程序OEP入口特征

OEP TOOL 查找工具: 查找OEP的工具能快速识别软件的OEP

OEP大全，快速查看不同编译语言编写的程序的OEP特征工具: 快速查看不同编译语言编写的程序的OEP特征工具，就像字典一样，需要哪个查哪个。点击编译语言按钮，就会出来相应的OEP特征

OSB + WLS + OEP + Cohernece: OSB + WLS + OEP + Cohernece

ACProtect对OEP的处理: ACProtect对OEP的处理加密壳加密解密 OEP 加壳

免杀破解利器-OEP查找工具-OepFinder汉化版: 免杀破解利器-OEP查找工具-OepFinder汉化版免杀破解利器-OEP查找工具-OepFinder汉化版

OEP.rar_OEP_Pe-file_infector: 基于visual c++的可以获取pe文件的oep，即每个exe或dll文件加载的起始地址。

MoleBox 2.xx Unpacker OEP Finder v1.10: MoleBox 2.xx Unpacker OEP Finder v1.10

Themida Winlicense不用修复VM_OEP脱壳教程.rar: TMD/WL入口点查找方法 1. .text段下内存写入断点,shift+F9,取消内存断点. 2. bp GetProcessHeap+C,F9,取消断点. 3. .text段下F2断点,F9到oep或者oep的第一个call里面的位置. 这里补充下,去OEP的思路,壳先填充数据,...

OEP.rar_DLL感染_OEP_PE 感染_PE装载_oep注入: OEP感染注入呢，最主要我们要了解OEP的...当windows把一个pe文件装载完成之后，就会直接执行OEP入口，即：AddressOfEntryPoint。我们学过PE知识得知，AddressOfEntryPoint是在IMAGE_OPTIONAL_HEADER32 结构的定义里面。

光电通oep820打印机驱动官方版: 光电通oep820驱动是专为该型号的打印机打造的配套驱动程序，适合购买了该型号打印机的朋友使用，如果你的打印机不能正常的和电脑进行连接，在本站下载此驱动程序可以帮你很好的解决这个问题，欢迎有需要的朋友下载...

寻找真正的入口（OEP）--广义ESP定律: 寻找真正的入口（OEP）--广义ESP定律

Molebox 2.x Unpacker and OEP Finder by Kelvar: Molebox 2.x Unpacker and OEP Finder by Kelvar 第二个好用的破解文档供OD使用，可直接破解部分exe加密视频，或反汇编破解

Global site tag (gtag.js) - Google Analytics