第一步
打开程序之后按下空格键,到流程图这里,找到jmp,双击后面的名字,跳转如果空格到不了,就在export中寻找OEP入口点,往下拉过两个函数,第三个函数里面的call就是main函数
OEP找到第二个call进去之后,流程图中exit上面的特征码code上面的函数就是main函数第二步
流程图中找到第二个call指令
函数中同样,双击,跳转到函数里面
第三步
这里是第二个函数双击后到达的位置
一直向下寻找,直到找到一个call指令前面紧跟着3个push(因为main函数的参数有三个,这三个push是将参数压入栈的操作,寻找方式与OD类似),此时双击call后面的函数名,进入后到达main函数。
***********************************************************************************************
上面的方法适用于12版左右的vs,总是现在的vs2017不能用这种方法找,是找不到的,具体如下:
在你找三个push的时候发现找不到了,这个时候就要找三个连续的call,看图:
中间的那个call是我们想要的call,它的特点是前后都跟着一个call,并且上面一个代码是add esp,4点进中间的call,之后
这个时候从上往下数的第四个call就是我们想要的main函数了,点进去看看吧
没错,是我们想要的main函数如果想要从后往前寻找到最开始的函数,在code上点击右键,选择第一个选项查看交叉调用的地方xxxxx to...往前查找
