¿Dónde es mejor que se ejecuten, desde la RAM o desde la paginación?

Un saludo.

Los programas de 32 bits también utilizan el modelo de túnel de 4 GB (2 GB para Usuario y 2 GB para Kernel). Esto significa que los procesos de 32 bits que se ejecutan en versiones de Windows de 64 bits se ejecutan en un modelo de túnel de 4 GB (2 GB para Usuario y 2 GB para Kernel).

Bueno, eso en realidad no es cierto. En arquitecturas x86 (32-Bit) el máximo de memoria virtual por proceso son 2 GB (0x00000000-0x7FFFFFFF).

Gracias Иōҳ.

Sí, ya me di cuenta y he visto que lo puse en el título. La verdad que ese pdf es muy interesante y no quiero borrarlo todavía, pero si dentro de un tiempo sigue roto lo eliminaré y buscare el pdf por mi disco duro.

Luego ya tienes la de sistemas 'NT' (elfa_new apunta a ella) IMAGE_NT_HEADERS:

Ahora, sobre la pregunta de si necesita estar en la base 0x00400000 la respuesta es: No.

No es necesario, el Sistema Operativo siempre da prioridad al ImageBase, pero en caso de no poder mapearse en esa zona de memoria lo situaría en una página sin reservar.

El caso más fácil de ver son por ejemplo las librerías, la mayoría de ellas intentan mapearse en 0x01000000 pero si te fijas en tu debugger favorito verás que siempre se van alojando de forma contigua.

Ahora si me preguntas sobre el resto de direcciones quitando las que reservan las librerías tienes las páginas de Stack y contextos (PEB y TEB) en los últimos 100K de los 2GB.

El resto son páginas que se reservan para generar memoria (y devolver heaps).

Si, esa es la idea yo no he trabajado con ese packer pero por si hay alguno que si lo haya trabajado pueda guiarte

Saludos