我正在学习PE文件结构,但我对入口点和原始入口点的概念感到困惑。我知道入口点的地址可以根据Image_Optional_Header计算,原始入口点有吗?输入点地址和原始入口点之间的代码可以做什么?
答案 0 :(得分:2)
原始入口点是逆向工程中通常称为可执行文件的概念,该可执行文件已通过某些方式修改,例如由打包程序压缩(或加密)或感染恶意软件。在修改之前,可执行文件的入口点是原始入口点(OEP)。当修改可执行文件时,例如包括在原始代码之前运行的代码存根,可执行文件的入口点将更改为指向新代码。然后,存根在完成后引用旧的入口点。因此,一旦存根运行,它将控制转移到原始入口点的地址,以便修改后的程序仍然可以正常工作(或显示)。