elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Sigue las noticias más importantes de elhacker.net en ttwitter!


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Duda sobre ollydbg y LordPe (ImageBase)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Duda sobre ollydbg y LordPe (ImageBase)  (Leído 618 veces)
Roast D

Desconectado Desconectado

Mensajes: 21


Ver Perfil
Duda sobre ollydbg y LordPe (ImageBase)
« en: 7 Marzo 2017, 23:51 »

Según lordPe la imageBase es de 400000 pero cuando hago el calculo en ollydbg es de 850000 o de 1170000. He visto varios post respecto al tema y en ollydbg siempre tienen una ImageBase de 400000. Alguien me puede decir a que se debe esto ?. Para que la imagebase no cambie cada vez que cargo el exe a olly.
En línea

Ragaza


Desconectado Desconectado

Mensajes: 399


Ver Perfil
Re: Duda sobre ollydbg y LordPe (ImageBase)
« Respuesta #1 en: 8 Marzo 2017, 00:21 »

Estas practicando con olly imagebase a que te refieres? No te importe la imagebase tu lo que tienes es cambiar el comportamiento del programa para que haga lo que te salga de los .. ya sabes. No te importe eso abrelo mirate un tutorial por internet y usalo poco a poco. En la sección ingenieria inversa encontrarás muchos tutos interesantes. Haces bien en aprender ingenieria inversa te servira para muchas cosas.

Por ultimo decirte que bienvenido a la ingenieria inversa es tediosa yo recien empece a buscar pero es divertida e interesante y con mucho futuro salu2
En línea

Soy un Noob
Roast D

Desconectado Desconectado

Mensajes: 21


Ver Perfil
Re: Duda sobre ollydbg y LordPe (ImageBase)
« Respuesta #2 en: 8 Marzo 2017, 01:42 »

Estas practicando con olly imagebase a que te refieres? No te importe la imagebase tu lo que tienes es cambiar el comportamiento del programa para que haga lo que te salga de los .. ya sabes. No te importe eso abrelo mirate un tutorial por internet y usalo poco a poco. En la sección ingenieria inversa encontrarás muchos tutos interesantes. Haces bien en aprender ingenieria inversa te servira para muchas cosas.

Por ultimo decirte que bienvenido a la ingenieria inversa es tediosa yo recien empece a buscar pero es divertida e interesante y con mucho futuro salu2

Es que estoy usando dos programas ollydbg y lordPE, en el lordpe te sale el punto de entrada y algo que se llama imageBase si tu sumas la direccion de imagBase con la del punto de entrada en LordPe, en olly deberia coincidir con la direccion en la que esta el punto de entrada.


Me explico mejor (entryPoint + imageBas) = direccion en Olly. El imageBase es siempre 400000 es decir que el punto de entrada en olly deberia ser 400000+(punto de entrada en lordPe). Eso es lo que he visto en la mayoría de tutoriales al respecto. Pero eso no ocurre en este caso. Cada vez que abro el .exe en Olly y en lordPe cambia ese imageBase. Apesar de marcar 400000 en LordPe.



Perdon si no me puedo hacer entender bien :S
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.844


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Duda sobre ollydbg y LordPe (ImageBase)
« Respuesta #3 en: 8 Marzo 2017, 02:01 »

La ImageBase es la dirección donde se cargará el ejecutable, si dicha dirección no está ya ocupada.
Ahora, el tema es que por seguridad, muchos programas actuales vienen con ASLR, lo que les permite comportarse como una DLL y cargarse en otra dirección; diferente a la especificada en el PE header.

Si el EP está en una dirección diferente cada vez que corres el exe en olly, entonces tiene ASLR.

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Ragaza


Desconectado Desconectado

Mensajes: 399


Ver Perfil
Re: Duda sobre ollydbg y LordPe (ImageBase)
« Respuesta #4 en: 8 Marzo 2017, 02:05 »

La ImageBase es la dirección donde se cargará el ejecutable, si dicha dirección no está ya ocupada.
Ahora, el tema es que por seguridad, muchos programas actuales vienen con ASLR, lo que les permite comportarse como una DLL y cargarse en otra dirección; diferente a la especificada en el PE header.

Si el EP está en una dirección diferente cada vez que corres el exe en olly, entonces tiene ASLR. Y una pregunta cuando dices EP te refieres si cada vez que abro con olly el programa me cambia el entry point?

Saludos!

tambien quiero preguntar yo una cosa sobre esto ya de paso si resuelve en una direccion y te cambia la dirección por el aslr la unica manera de evitarlo sería desactivarlo?  Y otra cuando dices la EP te refieres a que si se abre el programa cada vez con el ollydbg y te cambia el entry point quiere decir que tiene aslr?
« Última modificación: 8 Marzo 2017, 02:09 por Ragaza » En línea

Soy un Noob
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.844


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Duda sobre ollydbg y LordPe (ImageBase)
« Respuesta #5 en: 8 Marzo 2017, 03:06 »

tambien quiero preguntar yo una cosa sobre esto ya de paso si resuelve en una direccion y te cambia la dirección por el aslr la unica manera de evitarlo sería desactivarlo?  Y otra cuando dices la EP te refieres a que si se abre el programa cada vez con el ollydbg y te cambia el entry point quiere decir que tiene aslr?

Si l programa viene compilado con ASLR, va a ser difícil quitárselo (pero no imposible). Aunque no veo un motivo por el cual hacer semejante cosa...

Efectivamente, si cada vez que abres el exe con Olly cambia la direccion del EP, entonces el exe tiene ASLR. Por supuesto, la direccion siempre mantiene el RVA especificado en el PE Header.

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

0xNOP

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Duda sobre ollydbg y LordPe (ImageBase)
« Respuesta #6 en: 8 Marzo 2017, 17:36 »

En los ejecutables producidos para Windows NT, la base de imagen predeterminada era 0x10000. Para DLL, el valor predeterminado es 0x400000. En Windows 95, la dirección 0x10000 no se puede utilizar para cargar EXE de 32 bits porque se encuentra dentro de una región de dirección lineal compartida por todos los procesos. Debido a esto, Microsoft ha cambiado la dirección base predeterminada para ejecutables de Win32 a 0x400000.

Cabe mencionar que no todos van hacer 0x400000, pero mas bien la mayoria ya esta definido por esa base de imagen o 'ImageBase' en ingles, La manera de leer el 'ImageBase' es nada mas y nada menos que leyendo el propio PE, y como se hace es con programas como CFF Explorer o Adlice PE Viewer.

Por ende para entender lo que está pasando es imperativo que entiendas lo que es un binario PE o Portable Executable


    Fig. A - Formato de Binario Ejecutable


    Fig B. Version Mini

Con estos ejemplos de arriba puedes ver como el formato PE está estructurado, de que se compone y de donde salen los valores. Puesto que Microsoft es el autor de dicho formato, te recomiendo que pases por su pagina MSDN (o el "Microsoft Developer Network" por sus siglas en Ingles) y te comiences a ojear los documentos que hay ahi de dicho formato, no solo el MSDN es un gran lugar para aprender mas del formato PE, sino pues explora tambien en otros sitios online, foros, etc., etc.

Saludos,
0xNOP

MOD EDIT: Imagenes adaptadas a lo permitido.
« Última modificación: 9 Marzo 2017, 02:11 por MCKSys Argentina » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ayuda!, duda sobre plugins de Ollydbg, gracias
Ingeniería Inversa
kiocha 3 3,237 Último mensaje 22 Agosto 2006, 01:00
por tena
Duda sobre el Ollydbg
Ingeniería Inversa
Ceqka 4 1,732 Último mensaje 17 Junio 2011, 22:41
por .:UND3R:.
Duda LordPE
Ingeniería Inversa
.:UND3R:. 4 1,814 Último mensaje 29 Junio 2011, 20:51
por .:UND3R:.
[Solucionado] Duda sobre analisis de PE en Ollydbg.
Análisis y Diseño de Malware
Drewermerc 2 1,170 Último mensaje 30 Junio 2016, 23:40
por Drewermerc
Obtener la iat usando lordpe, olly y el location calculator duda
Ingeniería Inversa
Ragaza 1 198 Último mensaje 11 Marzo 2017, 16:10
por apuromafo
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines