elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Como determinar cuando ha sido modificada la AddressOfEntryPoint de un PE
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Como determinar cuando ha sido modificada la AddressOfEntryPoint de un PE  (Leído 3,823 veces)
vvictoristudio

Desconectado Desconectado

Mensajes: 10


Ver Perfil
Como determinar cuando ha sido modificada la AddressOfEntryPoint de un PE
« en: 28 Abril 2011, 01:24 am »

Pues eso mismo como puedo determinar cuando una archivo PE le ha sido modificada su AddressOfEntryPoint

Les agradeceria cualquier ayuda de antemano
En línea

~

Desconectado Desconectado

Mensajes: 85


Ver Perfil WWW
Re: Como determinar cuando ha sido modificada la AddressOfEntryPoint de un PE
« Respuesta #1 en: 28 Abril 2011, 01:47 am »

No se me ocurre una forma predefinida de hacer eso porque ese es un campo simple que puede apuntar a cualquier parte dentro de la imágen del ejecutable.

La forma más fácil que se me ocurre es saber de antemano la dirección a la que debe apuntar ese campo, el checksum del programa en cuestión, su tamaño original y conocer las instrucciones que deberían estar en el punto de entrada al que apunta el AddressOfEntryPoint, además de algún tipo de mapa de secuencia de instrucciones que permita determinar si la estructura de una versión de un ejecutable está alterada.

El AddressOfEntryPoint no necesariamente tiene que apuntar al inicio de la sección de código sino que puede llevar a cualquier lugar dentro de esta, y es algo perfectamente normal y común.
En línea

Donar con PayPal para que siga trabajando:
https://www.ebay.com/usr/udocproject3

Streams en vivo de programación:
PC 1 - PC 2

http://www.youtube.com/@AltComp126/streams
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Como determinar cuando ha sido modificada la AddressOfEntryPoint de un PE
« Respuesta #2 en: 28 Abril 2011, 15:26 pm »

Si el cambio esta bien hecho nunca podrás saber si se cambio... En caso de estar mal cambiada si que podrás ver que el checksum que hay en la cabecera no esta bien..
Código:
http://advancevb.com.ar/?p=50
En línea

~

Desconectado Desconectado

Mensajes: 85


Ver Perfil WWW
Re: Como determinar cuando ha sido modificada la AddressOfEntryPoint de un PE
« Respuesta #3 en: 29 Abril 2011, 01:49 am »

Muchos programas (la mayoría) tienen un valor de 0 en el checksum de la cabecera PE. Solo a los drivers, DLLs y ejecutables de sistema se les requiere tener un checksum válido.

Por eso depender de este campo no es bueno para determinar un cambio en el ejecutable. Sería mejor calcular desde el principio un checksum global con MD5 o SHA-1 a todo el archivo .EXE, y guardarlo como clave en un lugar seguro, no en el .EXE, para volver a comparar cuando se necesite.
En línea

Donar con PayPal para que siga trabajando:
https://www.ebay.com/usr/udocproject3

Streams en vivo de programación:
PC 1 - PC 2

http://www.youtube.com/@AltComp126/streams
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Como determinar cuando ha sido modificada la AddressOfEntryPoint de un PE
« Respuesta #4 en: 29 Abril 2011, 10:40 am »

En ese caso tendras que haber tenido el ejecutable con anterioridad. Entonces seria mejor guardar el EP orginal. Aunque no es requerido el checksum muchos compiladores lo añaden de forma automatizada.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Transformador: Cómo determinar el voltaje de entrada?
Electrónica
RicardoTV 5 16,221 Último mensaje 8 Agosto 2007, 19:12 pm
por -Xenon-
como saber si una imagen ha sido modificada
Diseño Gráfico
blaise 5 12,096 Último mensaje 14 Noviembre 2007, 04:44 am
por rodopin
Determinar si un fichero http ha sido actualizado
Programación C/C++
ukol 3 3,596 Último mensaje 20 Enero 2012, 12:40 pm
por Eternal Idol
Esta tecnología nos dice si una foto ha sido modificada en Photoshop
Noticias
wolfbcn 0 1,811 Último mensaje 7 Noviembre 2019, 18:16 pm
por wolfbcn
como saber si la hora de mi computador fue modificada
Dudas Generales
lawlietkira01 2 2,610 Último mensaje 23 Febrero 2021, 15:56 pm
por lawlietkira01
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines