elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  ¿Que son DWORD FS y <TSLindex>?		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Que son DWORD FS y <TSLindex>?  (Leído 2,615 veces)
Zequez

Desconectado Desconectado

Mensajes: 73


Ver Perfil
¿Que son DWORD FS y <TSLindex>?
« en: 19 Febrero 2010, 17:24 pm »
Bueno, estaba siguiendo un valor de un juego para encontrar un puntero estático, y llegué hasta un lugar en el que todo se resume en lo que esté en DWORD PTR FS:[2C], que según la aclaración del Olly es una dirección, y se le suma 2C... Pero, esa dirección de donde sale? :S

Y lo de TSLindex, me lo crucé mientras hacia lo demás, no es de suma importancia pero no encuentro que es exactamente xD.

Gracias ^^

EDITO: Ya descubrí que es el FS, es un registro de segmento, los segmentos cambian cada vez que se inicia el programa? :S
« Última modificación: 19 Febrero 2010, 18:11 pm por Zequez » En línea
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: ¿Que son DWORD FS y <TSLindex>?
« Respuesta #1 en: 19 Febrero 2010, 18:44 pm »
Bueno, el registro fs en windows apunta a la estructura Thread Information Block (TIB), y en la posición 2C de esa estructura, lo que sería fs:[2C] apunta al TLS Array. No se si sabes lo que son los TLS Callbacks, te dejo un poco de documentación:

Código:
http://isc.sans.org/diary.html?storyid=6655
http://www.cyberarmy.net/library/article/1653

Si vas a debugear un TLS Callback ten cuidado, pues creo que hasta la v2, el olly no los pausa, así que se ejecutarían mientras el debuger carga el exe (es bastante usado el malware  :xD).

Saludos  :P

PD: Supongo que con TSLindex te referías a TLS index  :P
En línea

“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.471


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: ¿Que son DWORD FS y <TSLindex>?
« Respuesta #2 en: 19 Febrero 2010, 20:56 pm »
Si usas OllyDbg, con el plugin OllyAdvanced, puedes configurar para que pare en el TLS Callbak...
En línea
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
Zequez

Desconectado Desconectado

Mensajes: 73


Ver Perfil
Re: ¿Que son DWORD FS y <TSLindex>?
« Respuesta #3 en: 22 Febrero 2010, 18:07 pm »
Sinceramente no los entendí muy bien pero voy a leer sobre el tema xD. Al menos descubrí que no cambian cuando reinicias el programa, lo cual es bueno, porque me dan una dirección estática para buscar la info que necesito xD.

También voy a bajar el OllyAdanced :P

Gracias ^^
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Solucionado]Convertir el AddressOfEntryPoint de DWORD a LPSTR? [C]
Programación C/C++ 		linkgl 2 3,794 Último mensaje 1 Enero 2011, 02:07 am
por linkgl
Alternativa a Lset ? (Long a DWord)
Programación Visual Basic 		Sanlegas 3 2,396 Último mensaje 23 Febrero 2011, 03:50 am
por F3B14N
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines