Foro de elhacker.net

Hola a todos tengo una duda con la estructura:

_LDR_DATA_TABLE_ENTRY
 InLoadOrderModuleList
 InMemoryOrderModuleList
 InInitializationOrderModuleList
 ...

Mi duda es si: ¿Esta estructura es siempre así? (según a donde me dirija con Loader data)

Me explico es que si en LoaderData tomo + 0C (InLoadOrderModuleList) siempre hay 6 DWORD (las tres LIST_ENTRY, cada una con flink y blink) antes del campo BaseAddress, pero si en el LoaderData tomo + 1C (InInitializationOrderModuleList) solo hay 2 DWORD antes del BaseAddress, ahora si tomo + 14 (InMemoryOrderModuleList),  hay 4 DWORDS antes del BaseAddress, eso es normal?  a ver si me explican, saludos.

Los punteros de _PEB_LDR_DATA van de acuerdo al valor al cual apuntan:

(http://s2.subirimagenes.com/imagen/previo/thump_8523323estructura-peb-prime.gif) (http://www.subirimagenes.com/imagen-estructurapebprime-8523323.html)

Costó entenderlo, pero se logró jeje

en el pasado se había hablado sobre el tema como indocumentado

http://undocumented.ntinternals.net/UserMode/Structures/PEB_LDR_DATA.html


 pero respecto a el tema hay alguna literatura "PEB"
http://www.ricardonarvaja.info/WEB/buscador.php

pero en especifico este:
http://www.ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1401-1500/1451-%5BUnDocumented%5D%20PEB%2C%20accediendo%20a%20los%20modulos%20por%20Nox.pdf

http://www.ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1031-Estructura%20PEB%20Primer%20parte%20por%20GUAN%20DE%20DIO.tar.gz

.:UND3R:. me da la sensación que llevas tiempo estudiando todo lo concerniente al PE header... ¿qué estarás tramando?  :P

Muy buena info e interesante, avanzada para mi  :) pero dejo anotado para cuando llegue a entenderla la tengo a mano.

Gracias!

apuromafo:
Muchas gracias por la info, es justo lo que había leído antes de preguntar, entendía la estructura pero desconocía esa característica de los punters de LDR_DATA, saludos.

karmany:
Honestamente me han pasado muchas cosas durante el transcurso de este tiempo, debo admitir que he dejado la ingeniería inversa enfacada en crackmes, debido a que tenía la gran obsesión de aprender lenguaje ensamblador, luego que aprendí los fundamentos de este lenguaje, me animé por aprender otros lenguajes algo de más alto nivel, (para tener más cartas debajo de la manga), luego de eso llegué casi mi punto de origen: el hermano de la ing inversa, creación de exploit, hoy estoy estudiando la forma de poder elaborar exploit, debo admitir que se me ha hecho muy fácil y todo se lo debo a ingeniería inversa, pero aun así estoy investigando muchas estructuras que antes solo las conocía por el nombre, o poseía una base en general, ya aprendiendo algo de exploit, estoy diseñando una shellcode genérica para win32, la cual puede ser ejecutada en cualquier versión de Windows ya que no posee API's harcodeadas (no tengo problemas en dárselas), pero debo admitir que siempre ando al tanto de Ing. inversa, depurar un programa me trae mucha nostalgia y recuerdos cuando hacía tutoriales, pero eso es bueno por que cuando domine la base sobre creación de exploit ya podré crear múltiples tutoriales y enfocarme en ing. inversa, saludos

CL1O: No es para nada difícil lo que publiqué, solo debes estudiar sobre la estructura PEB y su campo LDR_DATA, que es lo que ha publicado apuromafo, saludos.

Muchas gracias por el dato, pasa vos ya sabes, voy por la lección 21 a 30 del tuto de Ricardo, también me leí los tutos de acá bue y algo de asm, voy muy de apoco prestando atención a cada detalle para razonar y no hacer preguntas boludas, esto me gusta mucho, y cada pasito, se me abren varias puertas como lo que comentaste, y claro algún día espero poder ayudar a la gente, pero mientras sigo aprendiendo gracias a ustedes!



SALudos