elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  ollydbg cargando dll
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ollydbg cargando dll  (Leído 3,285 veces)
Don_K

Desconectado Desconectado

Mensajes: 31



Ver Perfil
ollydbg cargando dll
« en: 23 Junio 2012, 13:56 pm »

buenas a todooooos :D

bueee, tras esto planteo mi duda:
El caso es que hoy estaba editando un .dll con el Hex Editor y cuando he cogido un offset para ver como era ese code en el Ollydbg me he dado cuenta de que no salia lo mismo que en el Hex Editor...
es decir, que por ejemplo en el offset 0x0001400 que cogia del Hex Editor leia en hexadecimal 85 (JNZ) y en cambio en el OllyDBG en el 0x0001400 simplemente ponia todo 0000 (como si fuera espacio libre en esa sección del archivo)

Espero se entienda :/
graciasssss  ;-)
En línea

tincopasan


Desconectado Desconectado

Mensajes: 1.286

No es lo mismo conocer el camino que recorrerlo.


Ver Perfil
Re: ollydbg cargando dll
« Respuesta #1 en: 23 Junio 2012, 23:37 pm »

se me ocurre que estas mirando en la ventana CPu de desensamblado, buscá la misma dirección en la ventana dump y con la vista en hex a ver como te va ahora.
En línea

Don_K

Desconectado Desconectado

Mensajes: 31



Ver Perfil
Re: ollydbg cargando dll
« Respuesta #2 en: 24 Junio 2012, 01:21 am »

nada, lo mismo... se ve igual :O
lo gracioso es que en el OllyDBG se ve como si hubiera menos code; en el Hex Editor sale mas :O
En línea

The Swash

Desconectado Desconectado

Mensajes: 194


Programmer


Ver Perfil WWW
Re: ollydbg cargando dll
« Respuesta #3 en: 24 Junio 2012, 01:35 am »

Hola,

Las direcciones físicas (offsets) no son iguales que las direcciones en memoria. Estas últimas dependen de las secciones y el ImageBase del archivo ejecutable.
De pronto esto te pueda ayudar:

http://foro.elhacker.net/analisis_y_diseno_de_malware/taller_en_construccionsecciones_en_archivos_pe-t362515.0.html

Un saludo,
Iván Portilla.
En línea

karmany
Moderador
***
Desconectado Desconectado

Mensajes: 1.614


Sueñas que sueñas


Ver Perfil WWW
Re: ollydbg cargando dll
« Respuesta #4 en: 24 Junio 2012, 09:17 am »

Para ver qué dirección física se corresponde a una dirección virtual puede usar File Location Calculator y así calcular en OllyDBG a qué corresponde el offset 0x0001400
http://foro.elhacker.net/ingenieria_inversa/file_location_calculator_v032_por_karmany-t262979.0.html
En línea

Don_K

Desconectado Desconectado

Mensajes: 31



Ver Perfil
Re: ollydbg cargando dll
« Respuesta #5 en: 25 Junio 2012, 14:39 pm »

sisi, lo tenia en cuenta pero no sabia porque razon no me dejaba buscarlo... aparecia siempre en una direccion tipo 778...
despues he pulsado un par de veces shift+f9 para continuar y ya he llegado al Entry point del .dll, donde he podido buscar la direccion que me interesaba :D
pero una pregunta please, por que razon he aparecido en 778... en vez de en 400...?
Gracias :D
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
spanishdub cargando avi
Multimedia
abgl_84 4 3,068 Último mensaje 7 Enero 2007, 20:04 pm
por abgl_84
Problema cargando hash MD5
Hacking
hused 2 2,821 Último mensaje 5 Marzo 2010, 17:56 pm
por kamsky
Cargando api en memoria?
Programación C/C++
ØnLy 3 2,456 Último mensaje 21 Enero 2011, 07:17 am
por BlackZeroX
Cargando...
PHP
Castiblanco 1 1,963 Último mensaje 2 Octubre 2011, 23:33 pm
por WHK
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines