Duda sobre ejecutables

Iniciado por Tinkipinki, 22 Septiembre 2011, 20:16 PM

0 Miembros y 3 Visitantes están viendo este tema.

Shaddy

Cita de: .:UND3R:. en 24 Septiembre 2011, 16:09 PM
Leyendo un estudio de PE me topé con esto:
Sick Troen:
PE32 32 byte y el de 64 comentan que el límite es de 4gb

Optional Header
campos estandar
MagicNumber:puede ser P32 o P32+

la diferencia:

Saludos

Tú ten en cuenta que el sistema reserva 2 GB para el kernel. Yo no sé si habéis depurado el kernel alguna vez. Pero me resulta difícil pensar que virtualmente usen un rango de 0x00000000-0x7fffffffff (2GB) y en el kernel a partir de 0x80000000 y luego puedas usar esos 2 GB para código que no sea kernel.

Tú solamente piensa en las librerías / drivers / etc. que van gestionando el sistema. ¿Dónde es mejor que se ejecuten, desde la RAM o desde la paginación?

Un saludo.
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

Shaddy

Por aquí hay un artículo donde explica la memoria total (que no la memoria de user-land) en diferentes arquitecturas:

http://support.microsoft.com/kb/294418

Dicen que en x64 son 16 Terabytes. Yo juraría recordar que era 256 tb pero bueno.

Un saludo.
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

Иōҳ

#12
Cita de: Shaddy en 24 Septiembre 2011, 21:25 PM
¿Dónde es mejor que se ejecuten, desde la RAM o desde la paginación?

Un saludo.

Según lo que leí en el link, sería desde la ram?, si me equivoque es porque no lo tengo tan claro aún... :P


CitarLos programas de 32 bits también utilizan el modelo de túnel de 4 GB (2 GB para Usuario y 2 GB para Kernel). Esto significa que los procesos de 32 bits que se ejecutan en versiones de Windows de 64 bits se ejecutan en un modelo de túnel de 4 GB (2 GB para Usuario y 2 GB para Kernel).

Osea al referercide 4GB lo dicen en conjunto, pero lo que se debe especificar es que 2 solo pueden ser para el usuario, y lo restante (2gb), son para el kernel.

Creo que voy entendiendo...  ;D

Pd: Under te mande un MP te llego?

Saludos!
Nox.
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

.:UND3R:.

Cita de: Иōҳ en 24 Septiembre 2011, 22:08 PM
Según lo que leí en el link, sería desde la ram?, si me equivoque es porque no lo tengo tan claro aún... :P


Osea al referercide 4GB lo dicen en conjunto, pero lo que se debe especificar es que 2 solo pueden ser para el usuario, y lo restante (2gb), son para el kernel.

Creo que voy entendiendo...  ;D

Pd: Under te mande un MP te llego?

Saludos!
Nox.

el para el hackshield? ese sí. te envio mi mail :D

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Tinkipinki

Hola a todos
Para quien le interese leer un poco os dejo los links de descarga del tutorial de
Sick Troen que hacia referencia .:UND3R:.
Para los que sigan este hilo y se inicien en el tema creo que vale la pena darles un vistazo.

http://dc399.4shared.com/download/lvmh7dC-/044-ESTUDIO_DE_LOS_ENCABEZADOS.zip?tsid=20110925-093526-632c6108

http://dc129.4shared.com/download/LEzqnx-Y/048-ESTUDIO_DE_LOS_ENCABEZADOS.zip?tsid=20110925-093607-f855d31

Saludos

.:UND3R:.

Cita de: Tinkipinki en 25 Septiembre 2011, 11:55 AM
Hola a todos
Para quien le interese leer un poco os dejo los links de descarga del tutorial de
Sick Troen que hacia referencia .:UND3R:.
Para los que sigan este hilo y se inicien en el tema creo que vale la pena darles un vistazo.

http://dc399.4shared.com/download/lvmh7dC-/044-ESTUDIO_DE_LOS_ENCABEZADOS.zip?tsid=20110925-093526-632c6108

http://dc129.4shared.com/download/LEzqnx-Y/048-ESTUDIO_DE_LOS_ENCABEZADOS.zip?tsid=20110925-093607-f855d31

Saludos


Excelente aporte. Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Shaddy

Cita de: Иōҳ en 24 Septiembre 2011, 22:08 PM
Según lo que leí en el link, sería desde la ram?, si me equivoque es porque no lo tengo tan claro aún... :P


Osea al referercide 4GB lo dicen en conjunto, pero lo que se debe especificar es que 2 solo pueden ser para el usuario, y lo restante (2gb), son para el kernel.

Creo que voy entendiendo...  ;D

Pd: Under te mande un MP te llego?

Saludos!
Nox.

Es código que se ejecuta más veces. Y en líneas generales cualquier acceso a memoria es preferente que se haga sobra la RAM. (Es más rápido).

Yo no diría que un proceso puede ocupar 4 GB. Básicamente porque un proceso es una estructura EPROCESS que tiene asignados 2 GB de espacio usuario (como siempre, por defecto ;)...)

Un saludo.
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

Shaddy

Cita de: Tinkipinki en 25 Septiembre 2011, 11:55 AM
Hola a todos
Para quien le interese leer un poco os dejo los links de descarga del tutorial de
Sick Troen que hacia referencia .:UND3R:.
Para los que sigan este hilo y se inicien en el tema creo que vale la pena darles un vistazo.

http://dc399.4shared.com/download/lvmh7dC-/044-ESTUDIO_DE_LOS_ENCABEZADOS.zip?tsid=20110925-093526-632c6108

http://dc129.4shared.com/download/LEzqnx-Y/048-ESTUDIO_DE_LOS_ENCABEZADOS.zip?tsid=20110925-093607-f855d31

Saludos


Respeto mucho el trabajo que hizo Sick Troen en su día. Sin embargo, me atrevería a decir que lo mejor para estudiar un formato es utilizar su documentación oficial.

Y lo tenéis aquí:

http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/pecoff_v8.docx

Un saludo.
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

Tinkipinki

Hay que ver lo que puede dar de si un simple post y se agradece muchisimo todo el tiempo que uno invierte en responder y documentar temas.
Esto es un ejemplo para todos los que se inician en el crancking y leen a diario el foro para encontrar un nuevo reto, no todo es sacar serials, esto tambien reversing ... ;)

Saludos