no encuentro PE header en ollydbg 2

Iniciado por Belial & Grimoire, 6 Enero 2011, 06:29 AM

0 Miembros y 1 Visitante están viendo este tema.

Belial & Grimoire

hola

tengo ollydbg 2 en un manual hecho por Ferchu utliza PE Header, hay un manual que descargue, que dice que en ollydbg, en el hexadecimal, despues de Dissasemble me tiene que aparecer Special->PE header... pero no lo encuentro

acaso es un plugin? o tengo que usar la version 1

espero me puedan explicar

salu2
.                                 

apuromafo CLS

#1
la version 1 o 2 se puede
el tema es que debes ir donde esta la imagebase, la gran mayorias de los exes es 400000, en la ventana de abajo, la del dump colocas go direccion o algo asi->y colocas 400000, luego en los menus de abajo colocas especial, pe header


actualmente existen script, que automatizan el proceso de deteccion de pe, pero el tema delicado es aprender porque buscas o que identificas en un exe, eso es por pecoff que esta en microsoft

si quieres hacer algun editor te entiendo, pero si es por pillar el entrypoint, pues basta abrir con ollydbg o ida y estaras detenido en el ep.a excepcion que sea un .net (es un pe 32 para x86 o x64 , pero con la sección com  , y accede a otros datos para comenzar..)

sugiero comienzes con
http://foro.elhacker.net/ingenieria_inversa/taller_de_cracking_desde_cero_actualizado_27julio2008-t180886.0.html

y luego las teorias de ricardo
en www.ricardonarvaja.info o www.ricardonarvaja.net, pulsando el enlace a web, o donde dice teorias..

luego de leer los 58 escritos, de preferencia en pdf, sigue leyendo las teorias que han sacado los listeros de Crackslatinos, con fines educativos, van como en mil cuatrocientos escritos

luego de terminar, revisa tu pregunta y la resolveras como yo..eso esta en ollydbg y esta ahi cuando se conoce como usarlo
animo, yo se que se puede
ojo esto no difiere de loq ue comente aqui:
http://foro.elhacker.net/ingenieria_inversa/iquesteres_nuevo_en_el_foro_lee_esto-t93855.0.html
Guía que te puede orientar en tu pregunta por apuromafo
http://foro.elhacker.net/ingenieria_inversa/leer_todos_los_que_comienzan_primer_paso_responde_si_lo_leiste-t223174.0.html
si tienes tiempo solo inicia con esto:
CitarPodes empezar leyendo esto:

http://ricardonarvaja.info/WEB/INTRODUCCION%20AL%20CRACKING%20CON%20OLLYDBG%20DESDE%20CERO/EN%20FORMATO%20DOC/

/////////////
otra forma es bajando un identificador de pe y tendras la imagebase y el entrypoint, luego en ollydbg lo abres y vas a esa direccion..recuerda que las opciones del depurador son importante, no es lo mismo comenzar en la sección tls, que comenzar en systementrypoint , o en el main del programa.



saludos Apuromafo

The Swash

Hola, que tal..
Tambien sigo el taller de ferchu y tuve el mismo enconveniente.
Primero entras a Memory Map, para ello presionar el botón M de arriba.
Luego donde dice PE Header y muestra el nombre de tu aplicacion no otra sección, click derecho y Dump.

Una imagen vale más que mil palabras:


Resultado:


Saludos.