hola

tengo un duda... miren tengo un archivo con 10000 numeros hexadecimales al azar... y eso provoca un overflow a un programa, el programa esta documentado... asi que mi problema no es como hacer un exploit.

lo que pasa es que en ese archivo donde tengo los hexadecimales, al abrirlo con el programa que crashea, la EIP me marca unos numeros hexadecimales... hice un codigo para reemplazar esos numeros por otros para que al abrirlo de nuevo con el mismo programa y usando OllyDbg me marque la EIP con los numeros que acabo de modificar... pero no se modifican

ahora, cuando con el editor de hexadecimal, modifico los hexadecimales poco a poco me doy cuenta que lo que sobreescribe la EIP esta en otra parte...

por ejemplo.. supuestamente olly me dice que lo que tengo que modificar es la EIP que tiene 35373632, pero cuando lo hago la EIP no se modifica, pero cuando busque con el editor hexadecimal, me aparecio que tenia que modificar los hexadecimales 36383532... y al hacerlo si se modifica bien EIP

lo que no entiendo es porque pasa eso?

alguien sabe?

salu2

Hola!

Quizás no estés teniendo en cuenta, que cuando un valor hexa se carga en un registro, los valores se "invierten".

Esto es, por ej., si en la memoria tienes el valor: 0BADC0DE, cuando cargas el valor en un registro (EIP, EAX, etc) vas a ver el valor DEC0AD0B.

PUEDE SER que gracias a ésto, no encuentres el valor que dice EIP en el archivo Hexa.

Saludos!