C程序

函數(shù)調(diào)用順序為：KERNEL32!7c817077-mainCRTStartup-main

通常情況下，在調(diào)試程序的時候，往往會斷在mainCRTStartuo這里。

讓客戶滿意是我們工作的目標，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項目有：域名申請、虛擬空間、營銷軟件、網(wǎng)站建設(shè)、施秉網(wǎng)站維護、網(wǎng)站推廣。關(guān)于mainCRTStartup

• mainCRTStartup和wmainCRTStartup是控制臺環(huán)境下多字節(jié)編碼和Unicode編碼的啟動函數(shù)
• 而WinMainCRTStartup和wWinMainCRTStartup是windows環(huán)境下多字節(jié)編碼和Unicode編碼的啟動函數(shù)
  mainCRTStartup:
  

尋找main函數(shù)

main函數(shù)一共有三個參數(shù)，完整main函數(shù)如下：

int main(int argc,char *argv[],char *envp[]){}

這里的argv和envp對應(yīng)mainCRTStartup里_setargv()和_setenvp()
無需關(guān)注三個參數(shù)具體細節(jié)，只需記住main函數(shù)具有三個參數(shù)。
打開程序

一步步往下看，直到

在進行call跳轉(zhuǎn)函數(shù)前向堆棧壓入了三個參數(shù)，雖說push個數(shù)不一定代表參數(shù)個數(shù)，但通過這一方法可以過濾不少信息。從函數(shù)跳轉(zhuǎn)出來下一步就是add esp,0c；這是典型的堆棧外平衡，可以推測使用的是cdel。上面dword表示壓入的數(shù)據(jù)是4個字節(jié)，平衡時采用0C，C/4=3，即參數(shù)個數(shù)。
代碼：

步入call的函數(shù)：

發(fā)現(xiàn)出現(xiàn)0x160,并且發(fā)現(xiàn)將DS：[406030]賦值給EAX，并將EAX與160相加，最后又將EAX賦值回DS：[406030]，可以推測406030是全局變量global的全局變量地址。
重新打開程序，尋找406030地址

發(fā)現(xiàn)在執(zhí)行main函數(shù)前已經(jīng)賦值，可以看見是小端序。

你是否還在尋找穩(wěn)定的海外服務(wù)器提供商？創(chuàng)新互聯(lián)www.cdcxhl.cn海外機房具備T級流量清洗系統(tǒng)配攻擊溯源，準確流量調(diào)度確保服務(wù)器高可用性，企業(yè)級服務(wù)器適合批量采購，新人活動首月15元起，快前往官網(wǎng)查看詳情吧

分享標題：尋找C程序main入口、全局變量、局部變量-創(chuàng)新互聯(lián)
當前鏈接：http://vcdvsql.cn/article22/cseojc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供服務(wù)器托管、網(wǎng)站建設(shè)、建站公司、用戶體驗、虛擬主機、品牌網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)