elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Entrypoint....
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Entrypoint....  (Leído 3,436 veces)
Rojodos
Colaborador
***
Desconectado Desconectado

Mensajes: 3.536



Ver Perfil WWW
Entrypoint....
« en: 3 Diciembre 2003, 15:37 pm »

Bueno, tengo una duda que creo que es basica, pero no me aclaro....

El entrypoint es la "punta del hilo" del programa, es decir, donde empieza el codigo del programa...

Pero todo esto cuando se carga en memoria, es decir, en la RAM.

Segun tengo entendido, el 99% de los programas en win se cargan en la direccion 00400000h, no?

Bueno, entonces ese es el entrypoint no?

Pero si se cargan mas ejecutables iguales a ese o simplemente, otros ejecutables?? Donde esta el Entrypoint de cada uno de ellos?

No se cumple la "regla" de cargarse siempre en la direccion 00400000h, ya que ya esta "ocupada" por otro ejecutable. O si se carga...

A ver si alguien me entiende y me resuelve la duda :D

Salu2
En línea

byebye


Desconectado Desconectado

Mensajes: 5.093



Ver Perfil
Re:Entrypoint....
« Respuesta #1 en: 3 Diciembre 2003, 16:06 pm »

00400000 es la image base, es decir la direccion virtual donde se proyectara el archivo y el entry point en disco pongamos que es 1000. ok entonces el entrypoint es 00401000.por eso cuando se vuelca un archivo desde la memoria al disco para desenpacarlo por ejemplo,  se tiene que arreglar el entrypoint (restarle la imagebase). y vale estaras pensando pero si 2 ejecutables tienen la misma imagebase y el mismo entry point ¿que pasa?. jejeej pos pasa.... te lo voy a explicar asi por encima lo poco que pueda recordar, de todos modos lo lei en un tutorial de numit_or que creo que es de obliada lectura, tanto el formato pe como el de como w32 convierte direcciones  virtuales en direccion reales. (me pondre a buscarlo y pondre el link). bueno a lo que vamos, segun explicaba decia que se crea una tabla en memoria para cada proceso y esta tabla tiene punteros a las direcciones reales de memoria donde estan los datos, luego tambien decia algo sobre el registro CR3 que tambien tiene que ver con esas cosas y bueno  mejor que le des un ojo a los manuales ya que lo explica mas detallado y mejor que yo. (cuando los encuentre te pongo los links)
En línea

Rojodos
Colaborador
***
Desconectado Desconectado

Mensajes: 3.536



Ver Perfil WWW
Re:Entrypoint....
« Respuesta #2 en: 3 Diciembre 2003, 22:03 pm »

Entonces hay dos Entrypoint por cada ejecutable?

Uno es el Entrypoint del HD (1000) que supongo que es unico y otro es el Entrypoint en memoria, que es la imagen base de todo ejecutable en memoria (00400000) + Entrypoint en el HD de dicho archivo.

Es asi?

Me vendrian de perlas los manuales, a ver si los encuentras :D

Thx Mek
En línea

byebye


Desconectado Desconectado

Mensajes: 5.093



Ver Perfil
Re:Entrypoint....
« Respuesta #3 en: 4 Diciembre 2003, 06:25 am »

el entrypoint es variable en cada ejecutable, solo hay 1,mmmm.... se podria similar a cuando trabajas con archivos proyectados en memoria. por ejemplo para acceder a X datos en X direccion  seria rva+direccion donde se mapea parea llegar a ellos. (siempre yn cuando se este trabajando sobre ellos en memoria). http://usuarios.lycos.es/mrridk/Win32Asm/Documentos/PE_by_nmt.zip aqui esta uno de el formato pe son 3 si no recuerdo mal, el de la memoria aun no lo encontre.

no encuentro el otro o si lo encuentro el link esta roto. pero mira encontre este que tampoco tiene desperdicio.
http://www.geocities.com/eidan.rm/memoria1.htm
« Última modificación: 4 Diciembre 2003, 07:12 am por Mr.Potato » En línea

Rojodos
Colaborador
***
Desconectado Desconectado

Mensajes: 3.536



Ver Perfil WWW
Re:Entrypoint....
« Respuesta #4 en: 5 Diciembre 2003, 08:26 am »

Thx por los links....

La pagina del mrridk es muy interesantes :D

Salu2
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
EntryPoint no consigo hacerlo
Ingeniería Inversa
Don_K 2 2,672 Último mensaje 23 Mayo 2012, 13:38 pm
por Don_K
Stub detectado cambiando offset Entrypoint
Análisis y Diseño de Malware
Don_K 2 2,917 Último mensaje 24 Mayo 2012, 02:57 am
por Don_K
Compilar funcion sin entrypoint
Programación C/C++
x64core 5 2,700 Último mensaje 18 Octubre 2012, 06:54 am
por MCKSys Argentina
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines