Reconstruir una estructura...

Iniciado por Иōҳ, 16 Noviembre 2010, 01:35 AM

0 Miembros y 1 Visitante están viendo este tema.

Иōҳ

Bueno tengo una duda, estaba mirando una dll y deseo saber, como puedo reconstruir una structura que se encuentra en ella, ademas es pasada como parametro en una funcion, saber sus elementos, y como podre pasarla como parametro en asm.

osea poder reconstruirla y lograr algo asi:

szStructura STRUC

Elemento1 DWORD
Elemento2 BYTE
Elemento3 REAL4
szStructura ends

Si fuera el caso.

Muxas Graxias!

Salu2!


Eres adicto a la Ing. Inversa? -> www.noxsoft.net

Иōҳ

Edite el post para que la pregunta sea mas especifica ^^.

Salu2!
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

MCKSys Argentina

Imagino que lo que se pasa como parametro es un ptr a la estrcutura, no la estructura en si...

De cualquier forma, podrias preguntar en el subforo ASM, ahi Ethernal Idol seguro te puede dar una ayuda...

Sino le puedes dar con IDA y tratar de sacar los tipos de datos mirando las funciones que usa sobre los params...
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Иōҳ

saber para que sirve cada elemento, y sobre usar ida y mirar las funciones sobre los param como es eso? =/. algun ejemplito :P
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

MCKSys Argentina

Fijate aca: http://www.left-brain.com/tabId/65/itemId/1642/pageId/24/Undocumented-Windows-NT.aspx

La parte que dice "HOW TO DECIPHER THE PARAMETERS PASSED TO AN UNDOCUMENTED FUNCTION"

De todas formas, te recomiendo leer el articulo entero...  :P

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Иōҳ

pero que pasaria si cuando pongo el breakpoint en la funcion, y esta nunca para es mas, aparece en la referencia del olly RUN..., y cuando intento abrir la dll, el olly me avisa que el entry point a sido cambiado.

=/.

Muxo lvl para mi creo :P
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

MCKSys Argentina

Y.. fijate si esta packed o no.

Pasale RDG y PEiD y fijate que dicen. Cargalo en IDA y fijate si la decompila completa.

Por ejemplo, si esta en Delphi, la metes en IDR o Dede y la hacen pelota. Si es VC++, en IDA con el plugin X-Rays, le sacas CASI el fuente, etc. etc.

Todo depende de lo que saques de tu analisis...  :P
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."