Hace tiempo ya que llevo estudiando en profundidad el formato PE, y algo tedioso es revisar la MSDN o a winnt.h a cada rato por referencias de las estructuras, asi que hice un esquema (casi) completo del formato y pense que le podria ser util a alguien:

https://i.imgur.com/TzgDSRz.png
Nota: los numeros a un lado (derecho o izquierdo segun lo considere conveniente) de los miembros de las estructuras definen la direccion relativa a la base de la estrutura de cada uno, para evitar el calculo.

Ademas, para los que no entiendan ni pio ni a buenas primeras, he aqui varias de las referencias que utilice:

https://tech-zealots.com/malware-analysis/pe-portable-executable-structure-malware-analysis-part-2/
https://es.wikipedia.org/wiki/Portable_Executable
https://en.wikipedia.org/wiki/Data_structure_alignment
https://blog.kowalczyk.info/articles/pefileformat.html

Esta bien... ahora entiendo. Sin embargo ahora tengo una sutil duda: ¿cual es la diferencia entonces entre los miembros FileAlignment y SectionAlignment?

SectionAlignment
The alignment of sections loaded in memory, in bytes.
FileAlignment
The alignment of the raw data of sections in the image file, in bytes.

A menos que uno se refiera a todas las secciones conjuntamente y el otro a los datos de estas secciones, no lo intuyo.

y en el caso de que el primero se refiera a tal ¿con secciones conjuntamente nos referimos a los descriptores las secciones o a las secciones en si?

---

edito: acabo de notar que mientras uno dice in the image file, el otro loaded in memory. En ese caso tendria otras dudas (si no es molestia):

respecto a SectionAlignment:
¿por que esta informacion es relevante?
¿es relevante solo para el cargador de Windows?
¿tiene que ver con el mecanismo de paginacion?

Segun el primer enlace:

Estudiando la estructura de los archivos PE, me encontre con algo asi entre la ultima estructura IMAGE_SECTION_HEADER y la sección de codigo (de un EXE, cuya sección de codigo es la primera):



Hasta ahora no le hallo un sentido. Supongamos que se trata de tal padding entre estructuras, ¿no seria mas eficiente especificar la forma de alineamiento en IMAGE_OPTIONAL_HEADER32 y aplicarlo en memoria, y no en el disco? Honestamente, no entiendo cual es el sentido de aplicarlo tambien al archivo en disco...

Ademas, estoy casi seguro de que esto se debe a una razon practica mas que fundamental... pero ¿por que es necesario? es decir ¿por que no acceder a la memoria en unidades de palabra simplemente (sea cual sea la palabra del computador, 16-bits, 32-bits, 64-bits...)?

Hola,

estoy inseguro de si entiendo el significado de "alineamiento" cuando se habla de programacion en ensamblador y otras categorias; segun lo que hasta ahora se, el alineamiento es el ambito de acceso. Sin embargo, ¿es eso exactamente?

Por ejemplo, existe un miembro de la estructura IMAGE_OPTIONAL_HEADER del formato PE llamado FileAlignment (cosa que no entiendo: ¿por que alinear un archivo en disco? ¿o se trata mas bien de informacion para la paginacion?). Ademas, MASM tiene ciertos atributos para la declaracion de segmentos que puede ser BYTE, WORD, PARA, etcetera, ¿se refiere esto solo al ambito del segmento que debe calcular el ensamblador? ¿o va mas alla de esto?.

Gracias de antemano.

Forma parte de la libreria ntdll.dll de Windows... me parece curioso el nombre y, a pesar de encontrar su definicion en Internet:

NTSTATUS RtlAdjustPrivilege
 (
  ULONG    Privilege,
  BOOLEAN  Enable,
  BOOLEAN  CurrentThread,
  PBOOLEAN Enabled
 )

no encontre una explicacion tan buena de su funcionamiento (solo comentarios con descripciones de los parametros), ademas de no estar documentada por Microsoft.

¿alguien sabe de que se trata exactamente? cualquier conocimiento seria util...

Saludos.

Eternal Idol, ¿que documentacion recomendarias para MASM?. Generalmente, algo que conozcas que lo trate con la misma profundidad que The Rootkit Arsenal a Windows...

Saludos.
Gracias por responder.

Por supuesto que no... sin embargo, me pregunto precisamente si existe una manera de hacer by pass a tal estructura de seguridad.

Saludos.

¿que ensamblador contemporaneo entonces recomendarias?

Saludos.

Hola,

he estado estudiando la guia de usuario de TASM 5:

http://bitsavers.informatik.uni-stuttgart.de/pdf/borland/turbo_assembler/Turbo_Assembler_Version_5_Users_Guide.pdf

sin embargo el manual me parece estar muy desordenado, ademas de no cubrir la profundidad del modo IDEAL de TASM (no el modo MASM).

Me preguntaba si alguien sabe de una direccion u otro manual que desarrolle TASM de una manera mas "adecuada" y, especialmente, mas profunda. Tambien agradeceria referencias a documentacion para la programacion de objetos (en TASM).

Gracias.
Saludos.