Foro de elhacker.net

Bueno tengo una duda, estaba mirando una dll y deseo saber, como puedo reconstruir una structura que se encuentra en ella, ademas es pasada como parametro en una funcion, saber sus elementos, y como podre pasarla como parametro en asm.

osea poder reconstruirla y lograr algo asi:

szStructura STRUC

Elemento1 DWORD
Elemento2 BYTE
Elemento3 REAL4
szStructura ends

Si fuera el caso.

Muxas Graxias!

Salu2!

Edite el post para que la pregunta sea mas especifica ^^.

Salu2!

Imagino que lo que se pasa como parametro es un ptr a la estrcutura, no la estructura en si...

De cualquier forma, podrias preguntar en el subforo ASM, ahi Ethernal Idol seguro te puede dar una ayuda...

Sino le puedes dar con IDA y tratar de sacar los tipos de datos mirando las funciones que usa sobre los params...

saber para que sirve cada elemento, y sobre usar ida y mirar las funciones sobre los param como es eso? =/. algun ejemplito :P

Fijate aca: http://www.left-brain.com/tabId/65/itemId/1642/pageId/24/Undocumented-Windows-NT.aspx

La parte que dice "HOW TO DECIPHER THE PARAMETERS PASSED TO AN UNDOCUMENTED FUNCTION"

De todas formas, te recomiendo leer el articulo entero...  :P

Saludos!

pero que pasaria si cuando pongo el breakpoint en la funcion, y esta nunca para es mas, aparece en la referencia del olly RUN..., y cuando intento abrir la dll, el olly me avisa que el entry point a sido cambiado.

=/.

Muxo lvl para mi creo :P

Y.. fijate si esta packed o no.

Pasale RDG y PEiD y fijate que dicen. Cargalo en IDA y fijate si la decompila completa.

Por ejemplo, si esta en Delphi, la metes en IDR o Dede y la hacen pelota. Si es VC++, en IDA con el plugin X-Rays, le sacas CASI el fuente, etc. etc.

Todo depende de lo que saques de tu analisis...  :P