como se hace?, pues por algo crearon el pe header, por eso fly te comento lo que te decian, la tool te ayudara a entenderlo cuando lo nconozcas,
http://foro.elhacker.net/empty-t361927.0.htmlhttp://foro.elhacker.net/empty-t346454.0.htmlhttp://foro.elhacker.net/empty-t352495.0.htmlhttp://foro.elhacker.net/empty-t356332.0.htmlun script para offset
http://foro.elhacker.net/empty-t340094.0.htmlcff explorer?
http://foro.elhacker.net/empty-t335659.0.htmlollydbg2
http://foro.elhacker.net/empty-t315911.0.htmltemas en el foro
http://foro.elhacker.net/analisis_y_diseno_de_malware/taller_en_construccionsecciones_en_archivos_pe-t362515.0.htmlpues realmente re-crear herramientas de edición PE, es complejo ,
por otro lado no entiendes la suma porque no conoces el encabezado PE, valor del offset? es 1B0, pero linealmente dicen que el PE es 00 los primeros valores serian el magic (pe header)...luego asi suma y sigue...
hay un puntero donde comienza el pe, y ahi comienza enlistar las secciones,
por otro lado digamos que cff explorer va de mas a menos (magic )...hasta luego ver la cantidad de secciones, luego imagesize y luego confirma cada puntero, ahora porque creo esa opcion cff?,es por si alguien quiere cambiarle el nombre de forma hexadecimal, y no necesariamente mediante tools (desde ahi renombrar y listo)
no es para otra cosa
por otro lado la suma , digamos que el lugar dependerá de que herramienta uses, usando la tool de karmany solo colocas el 1B0 y hex, nada mas confirmas que seria la imagebase+offset
respecto a cff explorer seria 1B0h en el editor hexadecimal, respecto a ollydbg seria go to 400000 y luego special PE header y luego go to expresion 4001B0
por ejemplo
00400184 00100000 DD 00001000 ; VirtualAddress = 1000
00400188 00C40600 DD 0006C400 ; SizeOfRawData = 6C400 (443392.)
0040018C 00040000 DD 00000400 ; PointerToRawData = 400
sabemos que la imagebase es 400000 si quiero saber el tamaño en ollydbg veo con alt+m
Address Size Owner Section Contains Type Access Initial Mapped as
00400000 00001000 aleatori PE header Imag R RWE
00401000 0006D000 aleatori .text SFX,code Imag R RWE
0046E000 00001000 aleatori .data data Imag R RWE
0046F000 00005000 aleatori .rdata Imag R RWE
00474000 00007000 aleatori .bss Imag R RWE
0047B000 00001000 aleatori .idata imports Imag R RWE
0047C000 00001000 aleatori /4 Imag R RWE
0047D000 00001000 aleatori /19 Imag R RWE
0047E000 00004000 aleatori /35 Imag R RWE
00482000 00001000 aleatori /47 Imag R RWE
00483000 00001000 aleatori /61 Imag R RWE
00484000 00001000 aleatori /73 Imag R RWE
00485000 00001000 aleatori /86 Imag R RWE
00486000 00002000 aleatori /97 Imag R RWE
00488000 00001000 aleatori /108 Imag R RWE
realmente es tema de ir paso a paso viendo herramientas como los que explican en los tutoriales de izelion y luego ir explorando poco a poco a traves de lo antes escrito sobre el formato PE, o encabezado pe y asi suma y sigue
es un largo paso, que muchos crackers normalmente dejan en manos de las herramientas que ya existen
saludos Apuromafo
Autor
En línea
