Кирүү чекити же Entry Point - бул программанын аткарылышы башталган буйрук жайгашкан дарек. Кирүү чекитин табуу - бул ар кандай программаны изилдөөнүн алгачкы кадамдарынын бири.
Нускамалар
1 кадам
EP (Entry Point) жана OEP (Original Entry Point) ортосунда айырмачылыктар болушу керек. EP термини таңгактан чыгарылбаган (же коргоочу тарабынан корголбогон) программада колдонулат. Эгерде программа пакеттелген / корголгон болсо, анда Кирүү чекитинин орду пакердин биринчи буйругу менен алынат, андыктан баштапкы кирүү чекитин - OEP табуу керек.
2-кадам
Кирүү чекитин, башкача айтканда, кирүү чекитин таңгакталган программадан ар кандай жолдор менен таба аласыз. Мисалы, Peid программасын колдонуңуз. Аны ачыңыз, терезенин оң жагындагы териштирилип жаткан программаны тандоо үчүн баскычты чыкылдатыңыз. Блокнотту ачуу үчүн (notepad.exe), ал каталогдо жайгашкан: C: WINDOWSsystem32. Сиз Кирүү пунктунун дарегин жана башка маалыматтарды көрө аласыз.
3-кадам
LordPE программасы аркылуу Кирүү чекитин аныктаганга аракет кылыңыз. Программаны ачып, PE Editor баскычын чыкылдатып, notepad.exe файлын тандап, ОК баскычын чыкылдатыңыз. Кирүү чекити биринчи сапта келтирилет.
4-кадам
Olly мүчүлүштүктөрдү оңдогучту иштетип, анда notepad.exe файлын ачыңыз. Файлды ачкандан кийин, оңдоочу өзү Кирүү чекитине токтойт, кирүү чекитинин дареги бар сызык боз түс менен белгиленет.
5-кадам
PE Explorer орнотуңуз. Аны иштетип, анда notepad.exe файлын ачыңыз (Файл - Ачык файл). Кирүү чекитинин дареги "Кирүү чекитинин дареги" сабында көрсөтүлөт.
6-кадам
Эгер программа таңгакталып салынган болсо, алгач аны таңгактан чыгаруу керек. Пакерди аныктоо үчүн Peid программасын колдонуңуз. Аны иштетип, андагы таңгакталган программаны ачыңыз. "EP Section" сабында оромо камтылат - мисалы, UPX. Бул ороп чыгаруу үчүн сизге ушул версиянын UPX же UPX файлдарын таңгактоого мүмкүндүк берген көптөгөн утилиталардын бири керек болот дегенди билдирет. Эгерде утилиттердин бири дагы аны чече албаса, файлды кол менен ороп алыңыз. UPX кол менен ачуунун татаалдыгы жөнүндө бул жерден таба аласыз:
7-кадам
Эгерде программа коргоочу тарабынан корголгон болсо, анын ID нускасын коргоо ID программасы аркылуу билип алыңыз. Аны иштетип, "Скандоо" баскычын чыкылдатып, керектүү программаны тандаңыз. "Ачуу" баскычын чыкылдатыңыз. Программа коргоочу / пакердин түрү жөнүндө маалымат берет - эгерде коргоочулар жана пакерлер үчүн бул параметрлер анын маалымат базасында болсо.
