Hay varias formas de localizar el punto de entrada (EP) de un programa, y aquí expongo un par de ellas. La primera es la más sencilla y rápida, la segunda un poco más compleja pero que abre el abanico de opciones.
WinDbg como sabemos dispone de varios pseudo-registros predefinidos que nos facilitan bastante las sesiones de depuración. Uno de estos registros es $exentry. Para colocar un breakpoint en el punto de entrada del ejecutable basta con escribir este comando:
0:000> bu @$exentry
El segundo método es un poco más enrevesado pero igualmente válido. Consiste en localizar manualmente el entrypoint mediante el uso de las cabeceras PE del módulo. Para ello, lo primero que hacemos es buscar la ImageBase del ejecutable. Esto lo podemos conseguir con el comando LM que nos dará el ImageBase y el ImageSize, pero también podemos localizarlo con el comando !PEB que nos muestra información sobre el proceso (PEB - Process Environment Block)
Una vez tenemos la ImageBase tenemos que buscar la dirección del entry point en las cabeceras del módulo. Existe una cabecera opcional de valores en el formato PE que nos muestra este dato. Para ello ejecutamos el comando:
0:000> !dh ImageBase.
De toda la información que nos muestra este comando, nos quedamos con "Adress of Entry Point". Se trata de una dirección relativa a la ImageBase, por lo tanto el EntryPoint real lo calculamos sencillamente sumando ambos valores.
Para colocar el breakpoint con este método utilizamos el siguiente comando:
0:000> bp ImageBase + EntryPoint
Por supuesto, hay herramientas externas a WinDbg que nos proporcionan estos datos, pero para ejecutables que no están comprimidos y/u ofuscados, estos métodos van perfecto!
WinDbg como sabemos dispone de varios pseudo-registros predefinidos que nos facilitan bastante las sesiones de depuración. Uno de estos registros es $exentry. Para colocar un breakpoint en el punto de entrada del ejecutable basta con escribir este comando:
0:000> bu @$exentry
El segundo método es un poco más enrevesado pero igualmente válido. Consiste en localizar manualmente el entrypoint mediante el uso de las cabeceras PE del módulo. Para ello, lo primero que hacemos es buscar la ImageBase del ejecutable. Esto lo podemos conseguir con el comando LM que nos dará el ImageBase y el ImageSize, pero también podemos localizarlo con el comando !PEB que nos muestra información sobre el proceso (PEB - Process Environment Block)
Una vez tenemos la ImageBase tenemos que buscar la dirección del entry point en las cabeceras del módulo. Existe una cabecera opcional de valores en el formato PE que nos muestra este dato. Para ello ejecutamos el comando:
0:000> !dh ImageBase.
De toda la información que nos muestra este comando, nos quedamos con "Adress of Entry Point". Se trata de una dirección relativa a la ImageBase, por lo tanto el EntryPoint real lo calculamos sencillamente sumando ambos valores.
Para colocar el breakpoint con este método utilizamos el siguiente comando:
0:000> bp ImageBase + EntryPoint
Por supuesto, hay herramientas externas a WinDbg que nos proporcionan estos datos, pero para ejecutables que no están comprimidos y/u ofuscados, estos métodos van perfecto!
Comentarios
Publicar un comentario