PE header en x32dbg

Iniciado por Jholer, 25 Febrero 2019, 23:30 PM

0 Miembros y 1 Visitante están viendo este tema.

Jholer

Hola amigos, estoy leyendo la introduccion al cracking con ollydbg de Ricardo Narvaja, pero lo estoy haciendo con el x32dbg.

En ollydbg en el Dump haciendo click derecho>Special>PE header. Interpreta mejor los parámetros  del header, x32dbg no tiene esa opcion.

E encontrado un pluging "PE Header Dump Utilities v1.0" sale en la pestaña de pluging pero solo dice "about", no se como hacerlo funcionar
El pluging :https://github.com/changeofpace/PE-Header-Dump-Utilities/releases


¿Hay alguna forma para que interprete mejor el PE header en x32dbg?

Gracias amigos.


MCKSys Argentina

Hola!

Por lo que leo, se maneja como windbg: con la barra de comandos.

Por ejemplo, si el PE Header está en 0x400000, deberías colocar en la barra:


pedumpPEHeader 0x400000


No sé si el "0x" lo tienes que ingresar o si no debes hacerlo (prueba ambos)

Además, el readme dice claramente:

Citar
If a base address is not specified, then the command will calculate a base address using the selected address in the disassembly view. If the selected address is in a module, then the module's base address is used. If the selected address is not in a module, then the memory region's base address is used.

e.g. if you are viewing kernel32.dll's .text section in the disassembly view, then executing the pedumpPEHeader command will dump the entire pe header for kernel32.

Osea, si en la ventana de desensamblado estás en el EP del ejecutable (o en cualquier lado de la sección ejecutable), ingresando en la barra de comandos pedumpPEHeader solamente (sin dirección), debería dumpear el header del ejecutable automáticamente.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


apuromafo CLS

al menos es como comentas, pero por otro lado, la sugerencia es usar herramientas para explorar el pe header como cff explorer ppee entre otras

Saludos Apuromafo

Jholer

#3
Si funciona con los comando todo bien ya lo he probado, Gracias MCKSys Argentina.

Hola apuromafo, encontré y e  probado PE-bear y también me da buena información, voy a probar también los programas que comentas, gracias.