elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Duda Formato PE
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Duda Formato PE  (Leído 4,004 veces)
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Duda Formato PE
« en: 18 Mayo 2012, 05:30 am »

Hola a todos bueno creí en pensar escribir mi tema aquí porque la gente de Ingenieria inversa sabe mucho sobre el formato PE, bueno ya e leido sobre el formato PE y veran e estado viendo mucho EXEs y por ejemplo hice este hola mundo que posteare el Hex y tengo una dudilla sobre algo...
(Perdon por lo publicarlo con geshis es que necesitaba resaltar lo de mi duda)

lo que esta en azul es la Section headers, para que puedan ubicarse más rapido
lo de rojo no entiendo de donde sale... quiero saber de donde sale lo de rojo ? si fuera por el FileAlignment solo fueran 200h bytes aquí en este ejecutable pero
hay más... exactamente son 448 bytes, luego lo demas entiendo todo ( lo de verde es la sección de codigo, y bla bla... no puse todo para no hacer
tanto desorden... :P )

hey gracias por la ayuda :)


000001A2 00 00 00 00 00 00 00 20 00 00 14 00 00 00 00 00 00 00 00 00 00 00 ....... ..............
000001B8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 2E 74 65 78 74 00 .................text.
000001CE 00 00 25 00 00 00 00 10 00 00 00 02 00 00 00 04 00 00 00 00 00 00 ..%...................
000001E4 00 00 00 00 00 00 00 00 20 00 00 60 2E 72 64 61 74 61 00 00 B6 00 ........ ..`.rdata....
000001FA 00 00 00 20 00 00 00 02 00 00 00 06 00 00 00 00 00 00 00 00 00 00 ... ..................
00000210 00 00 00 00 40 00 00 40 2E 64 61 74 61 00 00 00 2C 03 00 00 00 30 ....@..@.data...,....0
00000226 00 00 00 02 00 00 00 08 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
0000023C 40 00 00 C0
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 @.....................
00000252 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000268 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
0000027E 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000294 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000002AA 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000002C0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000002D6 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000002EC 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000302 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000318 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
0000032E 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000344 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
0000035A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000370 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000386 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
0000039C 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000003B2 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000003C8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000003DE 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000003F4 00 00 00 00 00 00 00 00 00 00 00 00
6A 00 FF 15 04 20 40 00 6A 00 ............j.... @.j.
0000040A 68 00 30 40 00 68 00 30 40 00 6A 00 FF 15 0C 20 40 00 6A 00 FF 15 h.0@.h.0@.j.... @.j...
00000420 00 20 40 00 CC 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 . @...................
00000436 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
0000044C 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000462 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000478 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
0000048E 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000004A4 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000004BA 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000004D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000004E6 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000004FC 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000512 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000528 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
0000053E 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000554 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
0000056A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000580 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000596 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000005AC 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000005C2 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000005D8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000005EE 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
6C 20 00 00 ..................l ..
00000604 7A 20 00 00 00 00 00 00 9C 20 00 00 00 00 00 00 08 30 40 00 60 30 z ....... .......0@.`0
0000061A 40 00 58 20 00 00 00 00 00 00 00 00 00 00 8E 20 00 00 00 20 00 00 @.X ........... ... ..
00000630 64 20 00 00 00 00 00 00 00 00 00 00 AA 20 00 00 0C 20 00 00 00 00 d ........... ... ....
00000646 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 6C 20 00 00 ..................l ..
0000065C 7A 20 00 00 00 00 00 00 9C 20 00 00 00 00 00 00 19 01 45 78 69 74 z ....... ........Exit
00000672 50 72 6F 63 65 73 73 00 15 02 47 65 74 4D 6F 64 75 6C 65 48 61 6E Process...GetModuleHan
00000688 64 6C 65 41 00 00 4B 45 52 4E 45 4C 33 32 2E 64 6C 6C 00 00 0E 02 dleA..KERNEL32.dll....
0000069E 4D 65 73 73 61 67 65 42 6F 78 41 00 55 53 45 52 33 32 2E 64 6C 6C MessageBoxA.USER32.dll
000006B4 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000006CA 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000006E0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
000006F6 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
0000070C 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000722 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000738 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
0000074E 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
00000764 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ......................
 
....
« Última modificación: 18 Mayo 2012, 05:32 am por RHL » En línea

Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Duda Formato PE
« Respuesta #1 en: 18 Mayo 2012, 18:34 pm »

Confirmando lo que sospechaba con un gran bro The Swash, ese especie de padding de 0s entre la section headers y el comienzo de la primera sección (casi siempre la de código), es generalmente para la Bound Import.

Saludos,
Nox.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
karmany
Moderador
***
Desconectado Desconectado

Mensajes: 1.615


Sueñas que sueñas


Ver Perfil WWW
Re: Duda Formato PE
« Respuesta #2 en: 18 Mayo 2012, 19:23 pm »

Es que lo suyo es analizarlo con un editor o visor de PE. Con el mismo OllyDBG 1.10 se puede hacer perfectamente.

Carga el ejecutable en OllyDBG 1.10 y en la ventana de dump ve a la dirección virtual donde se haya cargado el ejecutable y pulsa botón derecho → Special → PE header

De todos modos si The Swash te ha dicho que es tema de Bound Import, ya te lo puedes creer.
En línea

Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Duda Formato PE
« Respuesta #3 en: 18 Mayo 2012, 23:01 pm »

De todos modos si The Swash te ha dicho que es tema de Bound Import, ya te lo puedes creer.

Sip, esa era la única lógica que le encontraba, y The Swash lo confirmó :P

Saludos,
Nox.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Duda Formato PE
« Respuesta #4 en: 19 Mayo 2012, 01:05 am »

gracias nox y karmany lo raro es que en el data directory la bound esta a cero... deberia de apuntar a esa direccion supongo...
tambien me di cuenta que sí no uso APIs osea no hay IAT no agrega esos bytes.. solo agrega una "linea" de 16 bytes... como un
separador? :| que curioso... hecho en VC
En línea

Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Duda Formato PE
« Respuesta #5 en: 19 Mayo 2012, 05:50 am »

Mayormente lo usan los VB, mira el excelente paper que escribió karmany:

http://www.karmany.net/index.php/ingenieria-inversa/35-peheader/72-boundimportdirectory

Iczelion (maestro):

http://win32assembly.online.fr/pe-tut6.html

Saludos,
Nox.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
The Swash

Desconectado Desconectado

Mensajes: 194


Programmer


Ver Perfil WWW
Re: Duda Formato PE
« Respuesta #6 en: 22 Mayo 2012, 04:50 am »

Hola,
Generalmente ese espacio es utilizado por el BOUND_IMPORT_DIRECTORY, pero te preguntarás si mi ejecutable no está hecho en Visual Basic, y generalmente en otros lenguajes no aparece, ¿por qué tanto espacio?.

Y bueno, ese espacio es determinado por el SizeOfHeaders, que puedes reducirlo pero deberás alinear todos las secciones, en conclusión ese espacio sobra de lo que realmente se ocupa en la cabecera del ejecutable.

Un saludo,
The Swash.
En línea

apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: Duda Formato PE
« Respuesta #7 en: 24 Mayo 2012, 20:13 pm »

en caso que quieras ver tools aqui hay una que te recomiendo:
http://guandedio.no-ip.org/herramientas/descarga/73-sirpe.html

saludos Apuromafo
En línea

Apuromafo
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Duda] Cual es el formato original?
Multimedia
RockBand 6 15,571 Último mensaje 22 Febrero 2008, 00:31 am
por RockBand
ayuda: duda con formato de seters y geters
Java
bt452 3 2,579 Último mensaje 20 Octubre 2008, 19:15 pm
por sapito169
[Duda] Leer archivo con formato SQLite 3
Programación Visual Basic
illuminat3d 9 10,748 Último mensaje 27 Julio 2010, 03:38 am
por illuminat3d
[Duda] sobre cambiar de formato a una película
Multimedia
Senior++ 5 5,580 Último mensaje 18 Noviembre 2011, 20:41 pm
por Senior++
Duda navegador y formato xml.
Desarrollo Web
Danirs 0 1,551 Último mensaje 18 Septiembre 2012, 19:40 pm
por Danirs
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines