Sin entrar mucho en las respuestas que se han dicho anteriormente, OllyDBG es un debugger para arquitecturas x86 (32-Bit) y sólamente puede funcionar en x64 corriendo en 32-Bit y depurando aplicaciones de 32-Bit.

Te recomiendo que si quieres trabajar con OllyDBG uses una máquina virtual y un XP SP3.

Pero si quieres seguir en Windows7 es mejor que uses o bien el IDA (lo encontrarás en google ) o bien el WinDBG que es por ende el debugger oficial para windows y más potente.

Un saludo.

En principio parece una librería (Flag DLL) renombrada a .exe y aparentemente un antiguo Themida con las imports reconstruidas con ImportReconstructor. (en .mackt).

Por la cantidad de ***** de las secciones y del deseampaquetado tiene bastante entropía así que es normal que salten algunas heurísticas.

Ahora, si es malware o no ahí ya habría que analizarlo detenidamente.

Un saludo.

P.D: Deberías ejecutar estas cosas como mínimo en una máquina virtual, pero si necesitas tirar fuera de la máquina como mínimo una política de permisos sin administración .

¿A qué "comandos" os referís?

Respeto mucho el trabajo que hizo Sick Troen en su día. Sin embargo, me atrevería a decir que lo mejor para estudiar un formato es utilizar su documentación oficial.

Y lo tenéis aquí:

http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/pecoff_v8.docx

Un saludo.

Es código que se ejecuta más veces. Y en líneas generales cualquier acceso a memoria es preferente que se haga sobra la RAM. (Es más rápido).

Yo no diría que un proceso puede ocupar 4 GB. Básicamente porque un proceso es una estructura EPROCESS que tiene asignados 2 GB de espacio usuario (como siempre, por defecto ...)

Un saludo.

Por aquí hay un artículo donde explica la memoria total (que no la memoria de user-land) en diferentes arquitecturas:

http://support.microsoft.com/kb/294418

Dicen que en x64 son 16 Terabytes. Yo juraría recordar que era 256 tb pero bueno.

Un saludo.

Tú ten en cuenta que el sistema reserva 2 GB para el kernel. Yo no sé si habéis depurado el kernel alguna vez. Pero me resulta difícil pensar que virtualmente usen un rango de 0x00000000-0x7fffffffff (2GB) y en el kernel a partir de 0x80000000 y luego puedas usar esos 2 GB para código que no sea kernel.

Tú solamente piensa en las librerías / drivers / etc. que van gestionando el sistema. ¿Dónde es mejor que se ejecuten, desde la RAM o desde la paginación?

Un saludo.

No, en x64 tienes hasta 256 TeraBytes .

Un saludo.

Estarías en un entorno de 64-Bit o expresamente configurado para que el kernel tenga sólamente 1 GB. Aunque ya te digo que muy raro sería .

Un saludo.

Bueno, eso en realidad no es cierto. En arquitecturas x86 (32-Bit) el máximo de memoria virtual por proceso son 2 GB (0x00000000-0x7FFFFFFF).


Puedes definirlos en el 'linker' o puedes definirlos a mano, como ya te dije ImageBase lo puedes cambiar manualmente.

Un saludo.