盼盼资源网-亲测资源网-盼盼的家园www.panpan.org

 找回密码
 立即注册
查看: 17|回复: 0

为什么搜索字符串都是先到401000再搜索

[复制链接]

453

主题

469

帖子

40万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
401832
发表于 2019-2-8 10:17:08 | 显示全部楼层 |阅读模式
为什么搜索字符串都是先到401000再搜索

问题:
为什么你们搜索字符串都是先到401000再来搜索的?有点疑惑,我还特地从入口点和定位401000分别搜索一次字符串来对比,结果从入口点搜索的字符串数量比定位401000搜索的还多21个


回答:
1、
这可都是OD仙人们一代一代的经验啊
2、
理论上,正常编译的,资源都是这里起步,才是正常的资源
当然也不排除邪教有人从程序入口开始
3、
看几节汇编基础你就懂了
4、
载入OD,F9运行程序,Ctrl+G到401000处(不到401000处搜索不到字符串,一般的EXE文件映射到内存中就是401000,意思就是在消息断点断下后,只要按 F9 键运行时执行到程序代码段的指令我们就中断,这样就可以回到程序领空了,当然在 401000 处所在的段不是绝对的,我们主要是要看程序的代码段在什么位置)
5、
401000是早期vc编译默认的开始地址,从vs2010开始是可以修改的。
6、
不一定在那儿,最好的方法是,单击od的模块e图标,再双击进入主程序exe或dll中,再搜索…因为有些程序不一
7、
还有一点就是没加壳可以在程序入口搜索,但是加了加密壳的话,有一些加密壳它连程序入口都加密,程序入口也加密的话,那程序入口就会在壳的区段里,这样你搜索到的就是壳的区段的字符串,一般壳的区段的字符串都是都少和乱码的。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|民间故事|新华字典|周公解梦|实用工具|加密解密|便民服务|盼盼工具箱|闹钟|默笙工具箱|易经风水|Archiver|手机版|小黑屋|盼盼资源网