|
Título: no encuentro PE header en ollydbg 2 Publicado por: Belial & Grimoire en 6 Enero 2011, 06:29 am hola
tengo ollydbg 2 en un manual hecho por Ferchu utliza PE Header, hay un manual que descargue, que dice que en ollydbg, en el hexadecimal, despues de Dissasemble me tiene que aparecer Special->PE header... pero no lo encuentro acaso es un plugin? o tengo que usar la version 1 espero me puedan explicar salu2 Título: Re: no encuentro PE header en ollydbg 2 Publicado por: apuromafo CLS en 6 Enero 2011, 16:59 pm la version 1 o 2 se puede
el tema es que debes ir donde esta la imagebase, la gran mayorias de los exes es 400000, en la ventana de abajo, la del dump colocas go direccion o algo asi->y colocas 400000, luego en los menus de abajo colocas especial, pe header actualmente existen script, que automatizan el proceso de deteccion de pe, pero el tema delicado es aprender porque buscas o que identificas en un exe, eso es por pecoff que esta en microsoft si quieres hacer algun editor te entiendo, pero si es por pillar el entrypoint, pues basta abrir con ollydbg o ida y estaras detenido en el ep.a excepcion que sea un .net (es un pe 32 para x86 o x64 , pero con la sección com , y accede a otros datos para comenzar..) sugiero comienzes con http://foro.elhacker.net/ingenieria_inversa/taller_de_cracking_desde_cero_actualizado_27julio2008-t180886.0.html y luego las teorias de ricardo en www.ricardonarvaja.info o www.ricardonarvaja.net, pulsando el enlace a web, o donde dice teorias.. luego de leer los 58 escritos, de preferencia en pdf, sigue leyendo las teorias que han sacado los listeros de Crackslatinos, con fines educativos, van como en mil cuatrocientos escritos luego de terminar, revisa tu pregunta y la resolveras como yo..eso esta en ollydbg y esta ahi cuando se conoce como usarlo animo, yo se que se puede ojo esto no difiere de loq ue comente aqui: http://foro.elhacker.net/ingenieria_inversa/iquesteres_nuevo_en_el_foro_lee_esto-t93855.0.html Guía que te puede orientar en tu pregunta por apuromafo http://foro.elhacker.net/ingenieria_inversa/leer_todos_los_que_comienzan_primer_paso_responde_si_lo_leiste-t223174.0.html si tienes tiempo solo inicia con esto: Citar Podes empezar leyendo esto: http://ricardonarvaja.info/WEB/INTRODUCCION%20AL%20CRACKING%20CON%20OLLYDBG%20DESDE%20CERO/EN%20FORMATO%20DOC/ ///////////// otra forma es bajando un identificador de pe y tendras la imagebase y el entrypoint, luego en ollydbg lo abres y vas a esa direccion..recuerda que las opciones del depurador son importante, no es lo mismo comenzar en la sección tls, que comenzar en systementrypoint , o en el main del programa. saludos Apuromafo Título: Re: no encuentro PE header en ollydbg 2 Publicado por: The Swash en 6 Enero 2011, 17:24 pm Hola, que tal..
Tambien sigo el taller de ferchu y tuve el mismo enconveniente. Primero entras a Memory Map, para ello presionar el botón M de arriba. Luego donde dice PE Header y muestra el nombre de tu aplicacion no otra sección, click derecho y Dump. Una imagen vale más que mil palabras: (http://s3.subirimagenes.com:81/privadas/1323216dibujo.png) Resultado: (http://s3.subirimagenes.com:81/privadas/previo/thump_1323218dibujo2.png) Saludos. |