Istnieje jeszcze jedna ciekawa metoda (thx Bartek), o której nie powiedziałem w odcinku, a o której należy wspomnieć. Nie przedłużając, metoda polega na wykonaniu zrzutu obrazu PE nie szukając OEP (czyli w dowolnym momencie po rozpakowaniu, np. przy okazji jakiegoś breakpointu, lub przed zakończeniem procesu), a następnie przeskanowaniu dump'a na występowanie sygnatury (za równo jako binarnego wzorca, jak i charakterystycznego kodu czy sekwencji mnemoników) jakiegoś popularnego kompilatora (Delphi / Microsoft Visual C++ / MinGW GCC / etc). Gdy znaleźliśmy prolog, wystarczy odpalić aplikację jeszcze raz, ustawić hardware breakpoint na znaleziony OEP (oczywiście pierwsza instrukcja prologu to OEP), ponownie wykonać zrzut i jesteśmy w domu. Jak można się domyślić, metoda nie zadziała jeśli aplikacja skompilowana została z jakimś niestandardowym prologiem lub prolog uległ zmianie. W takim wypadku pozostaje jeszcze możliwość zbudowania drzewa cross-refów, i poszukanie funkcji leżącej na samej górze drzewa, czyli właśnie prologa.
Zostało jeszcze jedno pytanie: skąd wziąć sygnatury? Z tego co pamiętam, IDA Pro w wersji komercyjnej zawiera sporo sygnatur m.in. prologów, i prawdopodobnie automatycznie znajdzie prolog (kwestia tylko jak ów prolog nazwie - zachęcam do testów). Ewentualnie zachęcam do stworzenia własnych narzędzi wyszukujących sygnatury i stworzenia własnej kolekcji sygnatur - na pewno będzie to pouczające i przydatne doświadczenie. Pamiętajcie jednak ze różne przełączniki zastosowane podczas kompilacji mogą powodować tworzenie się różnych prologów.

Materiały o których wspominam w odcinku:

• Hump-and-dump: efficient generic unpacking using an ordered address execution histogram (by Li Sun, Tim Ebringer, Serdar Boztas) - dokument opisujący ostatnią technikę wyszukiwania OEP o której wspominałem w odcinku