buenas a todooooos :D
bueee, tras esto planteo mi duda:
El caso es que hoy estaba editando un .dll con el Hex Editor y cuando he cogido un offset para ver como era ese code en el Ollydbg me he dado cuenta de que no salia lo mismo que en el Hex Editor...
es decir, que por ejemplo en el offset 0x0001400 que cogia del Hex Editor leia en hexadecimal 85 (JNZ) y en cambio en el OllyDBG en el 0x0001400 simplemente ponia todo 0000 (como si fuera espacio libre en esa sección del archivo)
Espero se entienda :/
graciasssss ;-)
se me ocurre que estas mirando en la ventana CPu de desensamblado, buscá la misma dirección en la ventana dump y con la vista en hex a ver como te va ahora.
nada, lo mismo... se ve igual :O
lo gracioso es que en el OllyDBG se ve como si hubiera menos code; en el Hex Editor sale mas :O
Hola,
Las direcciones físicas (offsets) no son iguales que las direcciones en memoria. Estas últimas dependen de las secciones y el ImageBase del archivo ejecutable.
De pronto esto te pueda ayudar:
http://foro.elhacker.net/analisis_y_diseno_de_malware/taller_en_construccionsecciones_en_archivos_pe-t362515.0.html
Un saludo,
Iván Portilla.
Para ver qué dirección física se corresponde a una dirección virtual puede usar File Location Calculator y así calcular en OllyDBG a qué corresponde el offset 0x0001400
http://foro.elhacker.net/ingenieria_inversa/file_location_calculator_v032_por_karmany-t262979.0.html (http://foro.elhacker.net/ingenieria_inversa/file_location_calculator_v032_por_karmany-t262979.0.html)
sisi, lo tenia en cuenta pero no sabia porque razon no me dejaba buscarlo... aparecia siempre en una direccion tipo 778...
despues he pulsado un par de veces shift+f9 para continuar y ya he llegado al Entry point del .dll, donde he podido buscar la direccion que me interesaba :D
pero una pregunta please, por que razon he aparecido en 778... en vez de en 400...?
Gracias :D