Hola a todos.

Pregunto sobre una DLL que tiene funciones que a su vez importa de otras DLL. Ejemplo:

El Kernel32.dll tiene funciones que están implementadas dentro del Kernel32.dll por ejemplo Beep. Pero tiene otras funciones que son implementadas en otras DLLs, por ejemplo OpenProcessToken que está implementada en la DLL API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL. (Hablo por ejemplo en Windows 7)

Es por ello que si se ve la Export Address Table del Kernel32.dll, la función OpenProcessToken aparece como Forwarded a API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL.

Entonces, la pregunta por la que viene todo esto:

¿Cuando mi programa se carga en memoria para ejecutarse, y el loader de Windows carga la Kernel32.dll en el espacio de direcciones del proceso de mi programa, también carga automáticamente la DLL API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0?

O sea: ¿cuando el loader de Windows carga una DLL que un programa necesita, también carga automáticamente todas las DLL Forwarded, que la primera DLL necesita?

Dicho de otra manera: Si yo cargo una DLL con LoadLibrary, pongamos la Kernel32.dll -> LoadLibrary("kernel32.dll") ¿LoadLibrary cargará además de la Kernel32, también todas las DLL Forwarded que la Kernel32 importe?

Gracias.

Hola a todos.

¿Sabéis de algún programa para sacar el gráfico de un ejecutable, en este caso de un malware?

Uno de estos programas que te sacan el gráfico de un malware tipo esta foto:

Hola a todos. Por lo visto hay varios tipos/versiones de tablas ASCII, principalmente 3:

1. (página de códigos 437)
2. (página de códigos 850)
3. ISO-8859-1

Para caracteres normales las tablas son la misma, pero para los caracteres extendidos cambian.


Para caracteres extendidos:

Las tablas 1 y 2 son parecidas, pero no iguales.
Y la tabla 3 ya es totalmente distinta.

Por ejemplo, si tomamos un carácter extendido, por ejemplo la letra ñ, para la tabla 1 y la tabla 2 el código es A4h, mientras que para la tabla 3 el código sería F1h.

Entonces esta es la pregunta:

Si yo quiero poner un mensaje con algún carácter extendido, ¿qué tabla utilizo?, para que luego con un desensamblador o editor hexadecimal se lea bien.

Por ejemplo: Hiew, OllyDbg, Immunity Debugger, IDA, sacan la ñ como A4h, mientras que WinHex saca la ñ con F1.

¿?

Para otros caracteres extendidos me parece que incluso las 3 tablas tienen un valor distinto.

Entonces: ¿qué tabla ASCII es la que se usa para ver los valores numéricos de los caracteres extendidos?

Gracias.

Hola. ¿Alguien sabe de tutoriales o info donde expliquen los nuevos registros, llamadas, etcs, en la arquitectura x64? Me interesa para programar en ensamblador. Por cierto, ¿algún tutorial sobre cómo programar en ensamblador x64? ¿Y algún ensamblador que compile código x64? Gracias a todos.

¡Hola a todos!

Me pasa esto:

Resulta que instalo el WDK 7.1.0 en Windows 7 Home Premium 32 bits y todo bien: tanto la instalación como luego a la hora de entrar a buscar la documentación sobre APIs Ring0.

Pero luego lo instalo en Windows 7 Home Premium 64 bits y la instalación también bien. Pero cuando intento ver la documentación del WDK para ver la info sobre APIs de drivers (por ejemplo ZwReadFile) entonces no encuentra la ruta y saca un mensaje de error. Os adjunto la foto:
http://img856.imageshack.us/img856/2060/w1qp.jpg


Pero ya os digo que no cambio nada ni se cambia nada.
Toda la instalación y todo es lo mismo, los pasos los mismos, el WDK el mismo.
Pero en 32 bits me va bien y en 64 bits me va mal.
Que yo sepa el WDK es para ambas.

Gracias un saludo.

Hola, tengo una guía de comandos ya bajada para el windbg, esta:

http://www.windbg.info/doc/1-common-cmds.html



Pero estoy super interesada en esta otra:

http://es.scribd.com/doc/54979757/Windbg-Quick-Reference


¿Alguien la tiene? Es que está en scribd y no la deja bajar salvo que se pague.

Muchas gracias.

Hola a todos.

¿Alguien utiliza el Syser debugger? ¿Me puede decir si le funciona bien y si puede tracear en ring0 a través de los módulos de windows tal y como se hacía con el Softice?

Creo además que Syser es sólo para Windows x86 ¿no?

Digo esto porque he probado la última versión en Windows 7 32 bits y se reinicia Windows cada vez que quiero depurar un simple EXE de prueba.

Gracias. Un saludo a todos.

Hola a todos. quisiera aprovechar y hacer una pregunta a quien me pudiera contestar:

¿Alguien sabe cómo se depura un ejecutable, un EXE, en Windows, usando el depurador WinDbg?

Quiero hacer lo mismo por ejemplo que se hace con el OllyDbg: abrir un EXE, el debugger te lo carga, te muestra su código ensamblador, y a continuación se puede ir traceando el programa paso a paso.

¿Cómo se hace eso con el WinDbg? Cuáles son los pasos.
Porque abro un EXE pero no me permite tracearlo.

Gracias.

Hola a todos.

Me gustaría tener, más que nada como curiosidad y recuerdo, alguno de aquellos antivirus para el MS-DOS, de aquellos que entraban en un disquete y eran un único programa ejecutable. Muchos se llamaban vacunas más que antivirus y detectaban unas pocas docenas de los primeros virus: Viernes 13, Ping-Pong, etc.

¿Alguien los recuerda o los usó? Tipo el Flushot, y otros.

Si alguien tiene alguno de estos antivirus, ¿me lo podría pasar? ¿O decirme de dónde los podría descargar?

Gracias.

Hola. ¿Alguien sabe dónde hay documentación sobre la estructura interna de todo fichero RAR? Sus cabeceras, campos, organización interna, etcs. Gracias.