Bueno tengo una duda, estaba mirando una dll y deseo saber, como puedo reconstruir una structura que se encuentra en ella, ademas es pasada como parametro en una funcion, saber sus elementos, y como podre pasarla como parametro en asm.

osea poder reconstruirla y lograr algo asi:

szStructura STRUC

Elemento1 DWORD
Elemento2 BYTE
Elemento3 REAL4
szStructura ends

Si fuera el caso.

Muxas Graxias!

Salu2!

Imagino que lo que se pasa como parametro es un ptr a la estrcutura, no la estructura en si...

De cualquier forma, podrias preguntar en el subforo ASM, ahi Ethernal Idol seguro te puede dar una ayuda...

Sino le puedes dar con IDA y tratar de sacar los tipos de datos mirando las funciones que usa sobre los params...

Fijate aca: http://www.left-brain.com/tabId/65/itemId/1642/pageId/24/Undocumented-Windows-NT.aspx

La parte que dice "HOW TO DECIPHER THE PARAMETERS PASSED TO AN UNDOCUMENTED FUNCTION"

De todas formas, te recomiendo leer el articulo entero... 

Saludos!

Y.. fijate si esta packed o no.

Pasale RDG y PEiD y fijate que dicen. Cargalo en IDA y fijate si la decompila completa.

Por ejemplo, si esta en Delphi, la metes en IDR o Dede y la hacen pelota. Si es VC++, en IDA con el plugin X-Rays, le sacas CASI el fuente, etc. etc.

Todo depende de lo que saques de tu analisis...