elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  ollydbg cargando dll		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ollydbg cargando dll  (Leído 3,285 veces)
Don_K

Desconectado Desconectado

Mensajes: 31



Ver Perfil
ollydbg cargando dll
« en: 23 Junio 2012, 13:56 pm »
buenas a todooooos :D

bueee, tras esto planteo mi duda:
El caso es que hoy estaba editando un .dll con el Hex Editor y cuando he cogido un offset para ver como era ese code en el Ollydbg me he dado cuenta de que no salia lo mismo que en el Hex Editor...
es decir, que por ejemplo en el offset 0x0001400 que cogia del Hex Editor leia en hexadecimal 85 (JNZ) y en cambio en el OllyDBG en el 0x0001400 simplemente ponia todo 0000 (como si fuera espacio libre en esa sección del archivo)

Espero se entienda :/
graciasssss  ;-)
En línea
tincopasan


Desconectado Desconectado

Mensajes: 1.286

No es lo mismo conocer el camino que recorrerlo.


Ver Perfil
Re: ollydbg cargando dll
« Respuesta #1 en: 23 Junio 2012, 23:37 pm »
se me ocurre que estas mirando en la ventana CPu de desensamblado, buscá la misma dirección en la ventana dump y con la vista en hex a ver como te va ahora.
En línea
Don_K

Desconectado Desconectado

Mensajes: 31



Ver Perfil
Re: ollydbg cargando dll
« Respuesta #2 en: 24 Junio 2012, 01:21 am »
nada, lo mismo... se ve igual :O
lo gracioso es que en el OllyDBG se ve como si hubiera menos code; en el Hex Editor sale mas :O
En línea
The Swash

Desconectado Desconectado

Mensajes: 194


Programmer


Ver Perfil WWW
Re: ollydbg cargando dll
« Respuesta #3 en: 24 Junio 2012, 01:35 am »
Hola,

Las direcciones físicas (offsets) no son iguales que las direcciones en memoria. Estas últimas dependen de las secciones y el ImageBase del archivo ejecutable.
De pronto esto te pueda ayudar:

http://foro.elhacker.net/analisis_y_diseno_de_malware/taller_en_construccionsecciones_en_archivos_pe-t362515.0.html

Un saludo,
Iván Portilla.
En línea
karmany
Moderador
***
Desconectado Desconectado

Mensajes: 1.614


Sueñas que sueñas


Ver Perfil WWW
Re: ollydbg cargando dll
« Respuesta #4 en: 24 Junio 2012, 09:17 am »
Para ver qué dirección física se corresponde a una dirección virtual puede usar File Location Calculator y así calcular en OllyDBG a qué corresponde el offset 0x0001400
http://foro.elhacker.net/ingenieria_inversa/file_location_calculator_v032_por_karmany-t262979.0.html
En línea
Don_K

Desconectado Desconectado

Mensajes: 31



Ver Perfil
Re: ollydbg cargando dll
« Respuesta #5 en: 25 Junio 2012, 14:39 pm »
sisi, lo tenia en cuenta pero no sabia porque razon no me dejaba buscarlo... aparecia siempre en una direccion tipo 778...
despues he pulsado un par de veces shift+f9 para continuar y ya he llegado al Entry point del .dll, donde he podido buscar la direccion que me interesaba :D
pero una pregunta please, por que razon he aparecido en 778... en vez de en 400...?
Gracias :D
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
spanishdub cargando avi
Multimedia 		abgl_84 4 3,068 Último mensaje 7 Enero 2007, 20:04 pm
por abgl_84
Problema cargando hash MD5
Hacking 		hused 2 2,821 Último mensaje 5 Marzo 2010, 17:56 pm
por kamsky
Cargando api en memoria?
Programación C/C++ 		ØnLy 3 2,456 Último mensaje 21 Enero 2011, 07:17 am
por BlackZeroX
Cargando...
PHP 		Castiblanco 1 1,963 Último mensaje 2 Octubre 2011, 23:33 pm
por WHK
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines