Uy.. vosotros vais unas cuantas clases mas adelantadas que yo y no hay quien os entienda jeje..
Igual no he sabido explicarme, os cuento:
Si abrimos el notepad con un editor hexadecimal vemos que los offset van del 00000000 al 000111F0.
Si lo abrimos con el Olly vemos que analiza el codigo de 01001000 offset 00000400 a 01008FFF offset 00007BFA.
Lo que me pregunto es porque no aparece en el Olly el codigo que va del offset 00000000 a 00000400?
Saludos
Ese es un Crackme que tengo a la mano, je es un DELPHI, ahí te enseño el OEP.
Luego te vas a la ventana Memory y vez esto
Memory map, item 19
Address=
00400000 Size=00001000 (4096.)
Owner=Nox_Dump 00400000 (itself)
Section=
Contains=PE header
Type=Imag 01001002
Access=R
Initial access=RWE
Que es donde empieza el proggie.
Sí vemos el DUMP vez esto:
00400000 4D 5A ASCII "MZ" ; DOS EXE Signature
La ImagenBase es está (no la muestro en la img que puse)
00400134 00004000 DD 00400000 ; ImageBase =
400000Así que si restamos la addy donde empieza el proggie (el header)
00400000 - ImageBase = Offset en disco (la que tú vez en tu HexEditor)
Reemplazamos:
00400000 - 00400000 = 0, que sería el Offset
AQUÍ, te lo explican mejor, está es la segunda vez que te doy el link, leelo, que parece que no tienes ganas de hacerlo,
yo tampocó lo tendré al no leer tus próximos post.http://foro.elhacker.net/analisis_y_diseno_de_malware/abril_negro_2008_taller_de_formato_pe_by_ferchu-t208278.0.htmlAdvertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.