Original Entry Point Finding

#pragma comment(linker,"/FILEALIGN:512 /MERGE:.rdata=.text /MERGE:.data=.text /SECTION:.text,EWR /IGNORE:4078")

int main(void)
{
return 0;
}

Сразу же вопрос: а зачем такая #pragma? Ответ: так я говорю линкеру, что неплохо было бы нашему файлику иметь все в одной секции: экономия на место, однако.

После компиляции выходной .exe получился весьма и весьма большим. (Все настройки были по дефолту). К чему я это: Естественно, напрашивается вопрос: а почему? Конечно, как и в случае с делфями тут компилер приделывает туевую хучу своих .lib'ов. Взглянем-ка мы на "Project ->Project Options ->Link -> Object/Library modules". Увидали сколько их всех? Стираем их всех нафиг. Также не забываем поставить галку "Ignore default libraries". Нечего что-то там прилинковывать без нашего участия. Сделали?
Жмем на "Rebuild all". Тут нас линкер и обматерил, что:

LINK : error LNK2001: unresolved external symbol _mainCRTStartup

Угу... Что-то мне подсказывает, судя по названию, что тут-то и собака зарыта :) Почему? Да просто этот код встречается в дефолтных библиотеках типа libc.lib сотоварищи. Нашли эту строчку там? И мне кажется, что именно эта гадость и вызывается где-то в начале. Добавим libc.dll к списку используемых библиотек. Опять давим "Rebuild all". Хм... Судя по именам, что-то он хочет из кернеля вызвать, да не может. Добавим kernel32.lib. О-па! Скомпилировалось. Ну что ж... Будем копать libc.lib.

Для этих целей нам понадобится еще lib.exe из состава VC++. Запускаем (для удобности скопировав в отдельную директорию lib.exe и libc.lib):

LIB.EXE /LIST LIBC.LIB>1

Получаем длинююююющий список всех .obj, что запрятаны в .lib. Какая же из них наша. Что-то мне подсказывает, что она должна иметь crt и имени. Таких набралось не так-то много. Начнем. Первой я попробую crt0init.obj. Что-то имя мне это нравится...

LIB.EXE /EXTRACT:build\intel\st_obj\crt0init.obj LIBC.lib

Посмотрим туда. Нет. А зря :) Смотрим дальше. Я выбрал crt0.obj. (Приложение не оконное и wincrt0.obj мне что-то не нравится :)))

LIB.EXE /EXTRACT:build\intel\st_obj\crt0.obj LIBC.lib

Смотрим вовнутрь. Опа! Она. Загружаем ее в IDA. Получаем следующий листинг:

public _mainCRTStartup
_mainCRTStartup proc near

var_20 = dword ptr -20h
var_1C = dword ptr -1Ch
var_18 = dword ptr -18h
var_14 = dword ptr -14h
var_4 = dword ptr -4

push ebp
mov ebp, esp
push 0FFFFFFFFh
push offset $T17244
push offset __except_handler3
mov eax, dword ptr fs:__except_list
push eax
mov dword ptr fs:__except_list, esp
sub esp, 10h
push ebx
push esi
push edi
mov [ebp+var_18], esp
call dword ptr ds:__imp__GetVersion@0
xor edx, edx
mov dl, ah
mov dword ptr ds:__winminor, edx
mov ecx, eax
and ecx, 0FFh
mov dword ptr ds:__winmajor, ecx
shl ecx, 8
add ecx, edx
mov dword ptr ds:__winver, ecx
shr eax, 10h
mov dword ptr ds:__osver, eax
push 0
call __heap_init
pop ecx
test eax, eax
jnz short loc_0_7F
push 1Ch
call _fast_error_exit
pop ecx

loc_0_7F: ; CODE XREF: _mainCRTStartup+61j
and [ebp+var_4], 0
call __ioinit
call dword ptr ds:__imp__GetCommandLineA@0
mov dword ptr ds:__acmdln, eax
call ___crtGetEnvironmentStringsA
mov ds:__aenvptr, eax
call __setargv
call __setenvp
call __cinit
mov eax, dword ptr ds:__environ
mov dword ptr ds:___initenv, eax
push eax
push dword ptr ds:___argv
push dword ptr ds:___argc
call _main
add esp, 0Ch
mov [ebp+var_1C], eax
push eax
call _exit

$L17239: ; DATA XREF: .rdata:000000F8o
mov eax, [ebp+var_14]
mov ecx, [eax]
mov ecx, [ecx]
mov [ebp+var_20], ecx
push eax
push ecx
call __XcptFilter
pop ecx
pop ecx

$L17241:
retn
_mainCRTStartup endp ; sp = -34h

При дизассемблировании реального .exe я получил такой код:

Подводим итоги

Автор: aSL! asl@aslsoft.com

Перепечатано с разрешения www.uofg.com.ua

Материалы находятся на сайте http://cracklab.narod.ru/doc/