Tema destacado: Deseas probar algunas mejoras a la interfaz del foro? Prueba cake! acerca de
 Autor
|
Tema: Como conocer el offset de una direccion en Ollydbg? (Leído 2,087 veces)
|
Tinkipinki
 Desconectado
Mensajes: 209
|
Hola todos: Pues eso... ¿Como conocer el offset de una direccion? Por ejemplo, nos encontramos en 004012DC 7416 JE SHORT 004012F4
¿Se podria hacer un script para encontrarlo?....Si es posible este seria un reto perfecto para .:UND3R:....  Saludos |
|
|
|
|
En línea
|
|
|
|
Иōҳ
Desconectado
Mensajes: 454
|
Justo lo mismo preguntaron en CLS (eso creo). Te pego lo que dijo Guan de dio: casi caulquier editor PE tiene una calculadora para esos
fines, el que ya te han comentado o por ejemplo el LordPe que es otro
de los más usados.
A mano sería
- Offset RAW: Dirección en disco
- Offset RVA : dirección relativa en memoria
- VA: Dirección absoluta en memoria
VA = RVA + ImagenBase (lo que suele mostrar el Olly)
El offset RAW se calcula así:
Lo primero es identificar en que sección se encuentra el VA. Para
ello lo mejor es transformar el VA en RVA, ya que los editores
muestran la información de las secciones en RVA
RVA = VA (dirección de Olly) - Imagen Base
Con esto te quedas con las direcciones
RVA inicio de sección
Offset RAW inicio de sección
Y las cuentas son:
Offset RAW = (RVA - RVA inicio de sección) + offset RAW comienzo de sección
Todo esto está explicado en la introducción de Ricardo que te recomiendo leas.
Saludos,
GUAN Pd: Creo que con eso queda bien explicado je, y me ahorre de escribirlo yo  Nox. |
|
|
|
|
En línea
|
|
|
|
.:UND3R:.
Desconectado
Mensajes: 1.960
Ingeniería inversa
|
en que capítulo exactamente aparece eso?
|
|
|
|
|
En línea
|
|
|
|
Иōҳ
Desconectado
Mensajes: 454
|
en que capítulo exactamente aparece eso?
Sí yo también me pregunte lo mismo... y no se si lo dirá. Pero con estudiar el Formato PE, ya te aclara todo eso  . Nox.
|
|
|
|
|
En línea
|
|
|
|
Tinkipinki
Desconectado
Mensajes: 209
|
Gracias Иōҳ y .:UND3R:. por vuestras respuestas. Con el ejemplo de GUAN muy bien explicado como calcularlo manualmente pero si se pudiera hacer con un script o plugin y tener el dato al instante con solo posicionarte el la direccion pues seria mas rapido....y asi ingresar en el club de la vagancia je je ..  Saludos |
|
|
|
|
En línea
|
|
|
|
Иōҳ
Desconectado
Mensajes: 454
|
Gracias Иōҳ y .:UND3R:. por vuestras respuestas. Con el ejemplo de GUAN muy bien explicado como calcularlo manualmente pero si se pudiera hacer con un script o plugin y tener el dato al instante con solo posicionarte el la direccion pues seria mas rapido....y asi ingresar en el club de la vagancia je je .. Saludos Bueno son simple operaciones, que seguro se pueden implementar en un script. Nox.
|
|
|
|
|
En línea
|
|
|
|
apuromafo
Desconectado
Mensajes: 640
|
estudiar el PE, nada mas que la imagebase y al modulo que pertenece..
si es por ir a la direccion bastaria que fuera al eip
mov eip, 4012dc o bien
los comandos findop, findmem, o findcmd para buscar esa variable mediante comando opcode y otros, recuerda el gci para encontrar mas informacion , gn si es algo mas
luego compararias el destino con algo...
004012DC->direccion, si la imagebase es 00400000 luego el offset seria
-*>12DC
no se..que quieren encontrar..pero un salto no es mucho, mejor es un orden..y cada cosa se da
|
|
|
|
|
En línea
|
|
|
|
Tinkipinki
Desconectado
Mensajes: 209
|
Hola apuromafo
Utilidad, utilidad creo que tiene poca solo era para hacer las modificaciones de saltos directamente en un editor hexadecimal, para encontrar por ejemplo la linea de codigo del JMP y para hacer eso nos hace falta saber el offset... creo
Saludos
|
|
|
|
|
En línea
|
|
|
|
Tinkipinki
Desconectado
Mensajes: 209
|
Solo para vagos.... Si buscamos la direccion 004012DC del ejemplo del principio con el W32DSM, al posicionarnos sobre la direccion en la barra inferior nos aparece el offset. La solucion no es mia ni mucho menos, esta sacada de internet. Saludos |
|
|
|
|
En línea
|
|
|
|
Tinkipinki
Desconectado
Mensajes: 209
|
Me surge otra duda:
Si tenemos un programa con el principio de codigo en el Olly por ejemplo en 401000 con un offset 400 pero mas arriba en el Olly no hay codigo pero estamos en el offset 400 per en el editor hex de 400 a 000 hay mas codigo.
¿Pues donde se encuentran estas lineas de codigo que faltan pertenecientes sa las cabeceras en el Olly?
Saludos
|
|
|
|
|
En línea
|
|
|
|
|
|
Tinkipinki
Desconectado
Mensajes: 209
|
Ok, perfecto. Ademas viene con un help que nos ayuda a comprender el funcionamiento del programa. Felicitaciones por currarse herramientas como esta...  Saludos |
|
|
|
|
En línea
|
|
|
|
apuromafo
Desconectado
Mensajes: 640
|
buena tool karmany,
desempaque el molebox, con su dependencia,
pero extrañamente no logra que la comparacion sea igual y bypasee el check en el packed, pero realmente interesante que lograste editar esas variables como crc o algo.. borre el unpacked, pero como tool no encontre nada raro, como bien habias dicho que desconfiabas del autor, pues solo lo baje..y revise, ahora leyendo tu post claramente estaba tu nombre...
buena idea..saludos Apuromafo
|
|
|
|
|
En línea
|
|
|
|
|
karmany
|
apuromafo a ti no tengo ningún problema en darte el original desempacado.
De todos modos seguramente haga como en Add PE bytes y cuando saque un poquito de tiempo quiero hacerlo bien: quitaré molebox (molebox es excepcional, pero para mis programas gratuitos me resulta caro y no voy a renovar la licencia, no lo veo un programa para mi necesario), crearé un instalador, pondré la librería del editor hexadecimal en el mismo directorio y alguna cosa más.
Además he encontrado el código fuente que dejó Yoda (autor de LordPE) de la librería del editor hexadecimal. Está en VC++ 6, tal vez la modifique.
Un saludo
|
|
|
|
|
En línea
|
 - "Tu sitio para aprender, enseñar y compartir" |
|
|
apuromafo
Desconectado
Mensajes: 640
|
ok +1
^^
saludos Apuromafo
pd:desde hoy hasta no se cuando, tengo internet en casa, asi que no deberia estar tan offtopic.!
|
|
|
|
|
En línea
|
|
|
|
|
 |
