Bueno tengo una duda, estaba mirando una dll y deseo saber, como puedo reconstruir una structura que se encuentra en ella, ademas es pasada como parametro en una funcion, saber sus elementos, y como podre pasarla como parametro en asm.
osea poder reconstruirla y lograr algo asi:
szStructura STRUC
Elemento1 DWORD
Elemento2 BYTE
Elemento3 REAL4
szStructura ends
Si fuera el caso.
Muxas Graxias!
Salu2!
Edite el post para que la pregunta sea mas especifica ^^.
Salu2!
Imagino que lo que se pasa como parametro es un ptr a la estrcutura, no la estructura en si...
De cualquier forma, podrias preguntar en el subforo ASM, ahi Ethernal Idol seguro te puede dar una ayuda...
Sino le puedes dar con IDA y tratar de sacar los tipos de datos mirando las funciones que usa sobre los params...
saber para que sirve cada elemento, y sobre usar ida y mirar las funciones sobre los param como es eso? =/. algun ejemplito :P
Fijate aca: http://www.left-brain.com/tabId/65/itemId/1642/pageId/24/Undocumented-Windows-NT.aspx
La parte que dice "HOW TO DECIPHER THE PARAMETERS PASSED TO AN UNDOCUMENTED FUNCTION"
De todas formas, te recomiendo leer el articulo entero... :P
Saludos!
pero que pasaria si cuando pongo el breakpoint en la funcion, y esta nunca para es mas, aparece en la referencia del olly RUN..., y cuando intento abrir la dll, el olly me avisa que el entry point a sido cambiado.
=/.
Muxo lvl para mi creo :P
Y.. fijate si esta packed o no.
Pasale RDG y PEiD y fijate que dicen. Cargalo en IDA y fijate si la decompila completa.
Por ejemplo, si esta en Delphi, la metes en IDR o Dede y la hacen pelota. Si es VC++, en IDA con el plugin X-Rays, le sacas CASI el fuente, etc. etc.
Todo depende de lo que saques de tu analisis... :P