elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
24 Mayo 2012, 00:51  


Tema destacado: Únete al Grupo Steam elhacker.NET

+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderadores: Karcrack, [Zero])
| | |-+  Leer direccion que hay en la posicion 3C con el editor hex		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Leer direccion que hay en la posicion 3C con el editor hex  (Leído 724 veces)
soez

Desconectado Desconectado

Mensajes: 50



Ver Perfil
Leer direccion que hay en la posicion 3C con el editor hex
« en: 7 Agosto 2010, 22:36 »
Bueno pregunto esto y asi me servirá para todas, como asigno a una variable la direccion que hay en la posicion 3C para averiguar donde empieza el PE ?? programando en C

EDITO: Me estoy fijando en codigos y parece que esta automatizado, que libreria es la que hay que usar?
« Última modificación: 7 Agosto 2010, 22:49 por soez » En línea
01001010 01100001 01110110 01101001 01100101 01110010
[L]ord [R]NA


Desconectado Desconectado

Mensajes: 1.507


El Dictador y Verdugo de H-Sec


Ver Perfil WWW
Re: Leer direccion que hay en la posicion 3C con el editor hex
« Respuesta #1 en: 7 Agosto 2010, 23:34 »
cuando te refieres a la variable que se encuentra en la direccion 0x3c te refieres con respecto a la base del ejecutabñe?

en caso de ser asi podrias leerla asignandole la direccion real a un puntero.

Código
//IMGBase = 400000, es un suponer, no siempre es esa.
// Las Dll siguen el formato PECOFF, por lo tanto tambien son consideradas ejecutables.
//0x3c es una direccion relativa a la direccion base donde fue cargado el ejecutable.
 
#Define IMGBASE 0x400000
 
int *RVAPE;
char *PEHeader;
 
RVAPE = IMGBASE +0x3c;
 
PEHeader = 0x400000 + *RVAPE;
 
// ahora dentro del puntero PEHeader tienes una direccion de memoria que apunta al PEHeader.
 
 
En línea
H-Sec... Exclusividad Ante Todo (Nos reservamos el Derecho a Admision)
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines