jaja, bueno me baje el cff explorer y confirmo lo que estas haciendo, cuando pulsas la sección .text aparece un numero,
cuando VAS a la opcion "hex editor " y vas a ese offset Apuntará en el nombre de esa sección,
me explico tengo un exe con muchas seccines una tiene nombre
.text al pulsar este me aparece 178, cuando voy al hex editor voy al offset 178h (h por hexadecimal), y aparece el punto de
.text osea donde comienza el nombre de esa sección
ahora si uso ollydbg, y voy a la imagezise en la ventana dump y coloco special PE header y voy a ver el encabezado bajo y encuentro en la direccion
00400178 2E 74 65 78 >ASCII ".text" ; SECTION
00400180 DCC20600 DD 0006C2DC ; VirtualSize = 6C2DC (443100.)
00400184 00100000 DD 00001000 ; VirtualAddress = 1000
00400188 00C40600 DD 0006C400 ; SizeOfRawData = 6C400 (443392.)
0040018C 00040000 DD 00000400 ; PointerToRawData = 400
00400190 00000000 DD 00000000 ; PointerToRelocations = 0
00400194 00000000 DD 00000000 ; PointerToLineNumbers = 0
00400198 0000 DW 0000 ; NumberOfRelocations = 0
0040019A 0000 DW 0000 ; NumberOfLineNumbers = 0
0040019C 60005060 DD 60500060 ; Characteristics = CODE|INITIALIZED_DATA|ALIGN_16|EXECUTE|READ
no se si eso quieres comparar? o saber
insisto lo primero del PE header, cuando se ven los datos
es OPTIONAL HEADER(pensando que usas CFF( imagebase), luego ves la sección que estas mirando, y sumas o comparas en el depurador
imagebase+el valor que te dicen... y comparas con al
ahora usando la tool que te comenta karmany si colocas Offset (el numero que ves ahi arriba) , en mi caso es 178, y colocas hex verás lo mismo pero sin traducir de ollydbg( los bytes en orden de la sección en su formato PE
supongo que eso querias confirmar?
ya antes karmany te dijo
En tu caso 1B0 te dará justo la dirección de la cadena de texto .txt,respecto a los reloc, mi sección .text no usa relocaciones, pero tu sección si los usa,
respecto a terminar el tema de una vez, estos datos que estas viendo son del PEHEADER, y se cargan de PE imagesize, luego le sumas ese offset y ahí está, pero si quieres editar algun valor, por algo crearon con tools hexadecimal, herramientas que ademas tienen soporte para confirmar los tamaños (no agregues o quites mas tamaño del que tiene establecido) etc
bueno bro, espero sigas explorando y mirando el cff explorer, pero con ejemplos que tu conozcas sobre tutoriales de PE header
saludos Apuromafo
pd:mi exe era el kg 2 de crackme 6 de flamer aleatorios10.exe el que confirmaba los datos
Autor
a ver si alguien me explica de donde sale ese valor que subrayo en rojo.
En línea
