|
Título: PE header en x32dbg Publicado por: Jholer en 25 Febrero 2019, 23:30 pm Hola amigos, estoy leyendo la introduccion al cracking con ollydbg de Ricardo Narvaja, pero lo estoy haciendo con el x32dbg.
En ollydbg en el Dump haciendo click derecho>Special>PE header. Interpreta mejor los parámetros del header, x32dbg no tiene esa opcion. E encontrado un pluging "PE Header Dump Utilities v1.0" sale en la pestaña de pluging pero solo dice "about", no se como hacerlo funcionar El pluging :https://github.com/changeofpace/PE-Header-Dump-Utilities/releases ¿Hay alguna forma para que interprete mejor el PE header en x32dbg? Gracias amigos. Título: Re: PE header en x32dbg Publicado por: MCKSys Argentina en 26 Febrero 2019, 01:04 am Hola!
Por lo que leo, se maneja como windbg: con la barra de comandos. Por ejemplo, si el PE Header está en 0x400000, deberías colocar en la barra: Código: pedumpPEHeader 0x400000 No sé si el "0x" lo tienes que ingresar o si no debes hacerlo (prueba ambos) Además, el readme dice claramente: Citar If a base address is not specified, then the command will calculate a base address using the selected address in the disassembly view. If the selected address is in a module, then the module's base address is used. If the selected address is not in a module, then the memory region's base address is used. e.g. if you are viewing kernel32.dll's .text section in the disassembly view, then executing the pedumpPEHeader command will dump the entire pe header for kernel32. Osea, si en la ventana de desensamblado estás en el EP del ejecutable (o en cualquier lado de la sección ejecutable), ingresando en la barra de comandos pedumpPEHeader solamente (sin dirección), debería dumpear el header del ejecutable automáticamente. Saludos! Título: Re: PE header en x32dbg Publicado por: apuromafo CLS en 26 Febrero 2019, 20:34 pm al menos es como comentas, pero por otro lado, la sugerencia es usar herramientas para explorar el pe header como cff explorer ppee entre otras
Saludos Apuromafo Título: Re: PE header en x32dbg Publicado por: Jholer en 27 Febrero 2019, 04:34 am Si funciona con los comando todo bien ya lo he probado, Gracias MCKSys Argentina.
Hola apuromafo, encontré y e probado PE-bear y también me da buena información, voy a probar también los programas que comentas, gracias. |