Reconstruir una estructura...

Iniciado por Иōҳ, 16 Noviembre 2010, 01:35 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

Иōҳ

16 Noviembre 2010, 01:35 AM Ultima modificación: 16 Noviembre 2010, 17:30 PM por Иōҳ
Bueno tengo una duda, estaba mirando una dll y deseo saber, como puedo reconstruir una structura que se encuentra en ella, ademas es pasada como parametro en una funcion, saber sus elementos, y como podre pasarla como parametro en asm.

osea poder reconstruirla y lograr algo asi:

szStructura STRUC

Elemento1 DWORD
Elemento2 BYTE
Elemento3 REAL4
szStructura ends

Si fuera el caso.

Muxas Graxias!

Salu2!


Eres adicto a la Ing. Inversa? -> www.noxsoft.net

Иōҳ

#1
16 Noviembre 2010, 17:31 PM
Edite el post para que la pregunta sea mas especifica ^^.

Salu2!
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

MCKSys Argentina

#2
16 Noviembre 2010, 19:08 PM
Imagino que lo que se pasa como parametro es un ptr a la estrcutura, no la estructura en si...

De cualquier forma, podrias preguntar en el subforo ASM, ahi Ethernal Idol seguro te puede dar una ayuda...

Sino le puedes dar con IDA y tratar de sacar los tipos de datos mirando las funciones que usa sobre los params...
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro

Иōҳ

#3
16 Noviembre 2010, 20:13 PM
saber para que sirve cada elemento, y sobre usar ida y mirar las funciones sobre los param como es eso? =/. algun ejemplito :P
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

MCKSys Argentina

#4
16 Noviembre 2010, 22:14 PM
Fijate aca: http://www.left-brain.com/tabId/65/itemId/1642/pageId/24/Undocumented-Windows-NT.aspx

La parte que dice "HOW TO DECIPHER THE PARAMETERS PASSED TO AN UNDOCUMENTED FUNCTION"

De todas formas, te recomiendo leer el articulo entero...  :P

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro

Иōҳ

#5
17 Noviembre 2010, 15:55 PM
pero que pasaria si cuando pongo el breakpoint en la funcion, y esta nunca para es mas, aparece en la referencia del olly RUN..., y cuando intento abrir la dll, el olly me avisa que el entry point a sido cambiado.

=/.

Muxo lvl para mi creo :P
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

MCKSys Argentina

#6
17 Noviembre 2010, 17:16 PM
Y.. fijate si esta packed o no.

Pasale RDG y PEiD y fijate que dicen. Cargalo en IDA y fijate si la decompila completa.

Por ejemplo, si esta en Delphi, la metes en IDR o Dede y la hacen pelota. Si es VC++, en IDA con el plugin X-Rays, le sacas CASI el fuente, etc. etc.

Todo depende de lo que saques de tu analisis...  :P
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro
Imprimir
Ir Arriba Páginas1
Acciones del Usuario