Temas

[también carga automáticamente la DLL API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0]

Hola a todos.

Pregunto sobre una DLL que tiene funciones que a su vez importa de otras DLL. Ejemplo:

El Kernel32.dll tiene funciones que están implementadas dentro del Kernel32.dll por ejemplo Beep. Pero tiene otras funciones que son implementadas en otras DLLs, por ejemplo OpenProcessToken que está implementada en la DLL API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL. (Hablo por ejemplo en Windows 7)

Es por ello que si se ve la Export Address Table del Kernel32.dll, la función OpenProcessToken aparece como Forwarded a API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL.

Entonces, la pregunta por la que viene todo esto:

¿Cuando mi programa se carga en memoria para ejecutarse, y el loader de Windows carga la Kernel32.dll en el espacio de direcciones del proceso de mi programa, también carga automáticamente la DLL API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0?

O sea: ¿cuando el loader de Windows carga una DLL que un programa necesita, también carga automáticamente todas las DLL Forwarded, que la primera DLL necesita?

Dicho de otra manera: Si yo cargo una DLL con LoadLibrary, pongamos la Kernel32.dll -> LoadLibrary("kernel32.dll") ¿LoadLibrary cargará además de la Kernel32, también todas las DLL Forwarded que la Kernel32 importe?

Gracias.

Hola a todos.

¿Sabéis de algún programa para sacar el gráfico de un ejecutable, en este caso de un malware?

Uno de estos programas que te sacan el gráfico de un malware tipo esta foto:

Hola a todos. Por lo visto hay varios tipos/versiones de tablas ASCII, principalmente 3:

1. (página de códigos 437)
2. (página de códigos 850)
3. ISO-8859-1

Para caracteres normales las tablas son la misma, pero para los caracteres extendidos cambian.


Para caracteres extendidos:

Las tablas 1 y 2 son parecidas, pero no iguales.
Y la tabla 3 ya es totalmente distinta.

Por ejemplo, si tomamos un carácter extendido, por ejemplo la letra ñ, para la tabla 1 y la tabla 2 el código es A4h, mientras que para la tabla 3 el código sería F1h.

Entonces esta es la pregunta:

Si yo quiero poner un mensaje con algún carácter extendido, ¿qué tabla utilizo?, para que luego con un desensamblador o editor hexadecimal se lea bien.

Por ejemplo: Hiew, OllyDbg, Immunity Debugger, IDA, sacan la ñ como A4h, mientras que WinHex saca la ñ con F1.

¿?

Para otros caracteres extendidos me parece que incluso las 3 tablas tienen un valor distinto.

Entonces: ¿qué tabla ASCII es la que se usa para ver los valores numéricos de los caracteres extendidos?

Gracias.

Hola. ¿Alguien sabe de tutoriales o info donde expliquen los nuevos registros, llamadas, etcs, en la arquitectura x64? Me interesa para programar en ensamblador. Por cierto, ¿algún tutorial sobre cómo programar en ensamblador x64? ¿Y algún ensamblador que compile código x64? Gracias a todos.

¡Hola a todos!

Me pasa esto:

Resulta que instalo el WDK 7.1.0 en Windows 7 Home Premium 32 bits y todo bien: tanto la instalación como luego a la hora de entrar a buscar la documentación sobre APIs Ring0.

Pero luego lo instalo en Windows 7 Home Premium 64 bits y la instalación también bien. Pero cuando intento ver la documentación del WDK para ver la info sobre APIs de drivers (por ejemplo ZwReadFile) entonces no encuentra la ruta y saca un mensaje de error. Os adjunto la foto:
http://img856.imageshack.us/img856/2060/w1qp.jpg


Pero ya os digo que no cambio nada ni se cambia nada.
Toda la instalación y todo es lo mismo, los pasos los mismos, el WDK el mismo.
Pero en 32 bits me va bien y en 64 bits me va mal.
Que yo sepa el WDK es para ambas.

Gracias un saludo.

[Pero estoy super interesada en esta otra:http://es.scribd.com/doc/54979757/Windbg-Quick-Reference]

Hola, tengo una guía de comandos ya bajada para el windbg, esta:

http://www.windbg.info/doc/1-common-cmds.html



Pero estoy super interesada en esta otra:

http://es.scribd.com/doc/54979757/Windbg-Quick-Reference


¿Alguien la tiene? Es que está en scribd y no la deja bajar salvo que se pague.

Muchas gracias.

Hola a todos.

¿Alguien utiliza el Syser debugger? ¿Me puede decir si le funciona bien y si puede tracear en ring0 a través de los módulos de windows tal y como se hacía con el Softice?

Creo además que Syser es sólo para Windows x86 ¿no?

Digo esto porque he probado la última versión en Windows 7 32 bits y se reinicia Windows cada vez que quiero depurar un simple EXE de prueba.

Gracias. Un saludo a todos.

[¿Alguien sabe cómo se depura un ejecutable, un EXE, en Windows, usando el depurador WinDbg?]

Hola a todos. quisiera aprovechar y hacer una pregunta a quien me pudiera contestar:

¿Alguien sabe cómo se depura un ejecutable, un EXE, en Windows, usando el depurador WinDbg?

Quiero hacer lo mismo por ejemplo que se hace con el OllyDbg: abrir un EXE, el debugger te lo carga, te muestra su código ensamblador, y a continuación se puede ir traceando el programa paso a paso.

¿Cómo se hace eso con el WinDbg? Cuáles son los pasos.
Porque abro un EXE pero no me permite tracearlo.

Gracias.

Hola a todos.

Me gustaría tener, más que nada como curiosidad y recuerdo, alguno de aquellos antivirus para el MS-DOS, de aquellos que entraban en un disquete y eran un único programa ejecutable. Muchos se llamaban vacunas más que antivirus y detectaban unas pocas docenas de los primeros virus: Viernes 13, Ping-Pong, etc.

¿Alguien los recuerda o los usó? Tipo el Flushot, y otros.

Si alguien tiene alguno de estos antivirus, ¿me lo podría pasar? ¿O decirme de dónde los podría descargar?

Gracias.

Hola. ¿Alguien sabe dónde hay documentación sobre la estructura interna de todo fichero RAR? Sus cabeceras, campos, organización interna, etcs. Gracias.

Hola a todos. Me pasa esto:

Tengo un USB, lo meto en la computadora, y estoy programando con mis fuentes metidos en el USB. O sea cada vez que le doy salvar está salvando el fuente que modifico y que está en el USB. Es decir, cada vez que le doy salvar hace una nueva escritura en el USB para actualizar = salvar el fichero fuente con el que trabajo.

Mi pregunta es si de tanto salva, salva, salva, puede llegar un momento en el que el USB no me permita escribir más en él. ¿No ocurre que los USB tienen un número limitado de escrituras en ellos?

También podría pasarme el trabajo al disco duro y trabajar ahí y una vez terminado actualizarlo en el USB con lo que sólo sería una escritura. Pero me es más cómodo trabajar directamente desde el USB.

Gracias a todos y a quien me pueda orientar.

Hola de nuevo a todos. ¿Alguien tiene temas para el Notepad++ que sean para programar en ASM? Gracias.

PD: tengo los temas que vienen por defecto en el Notepad++ pero quería ver otros si alguien tiene más. Gracias.


EI: juntando mensajes.


Con temas, me refiero a esos ficheros xml que definen toda la configuración de colores y letras del editor para programar.

Hola.

En el IDAPro tengo la ventana de desensamblado, donde sale el código ensamblador del programa. Y salen: la dirección de la instrucción y al lado la instrucción.

Pero quiero que además aparezca el código hexadecimal de cada instrucción.

¿Alguien me podría decir cómo se pone? Si es que tiene la opción.

Aclaración: No me refiero a la ventana de volcado de memoria hexadecimal. Me refiero a dentro de la ventana de desensamblado, que además de las instrucciones y la dirección de memoria de cada instrucción, salga ahí mismo el código hexadecimal de cada instrucción.

Gracias.

Hola.

En el IDAPro tengo la ventana de desensamblado, donde sale el código ensamblador del programa. Y salen: la dirección de la instrucción y al lado la instrucción.

Pero quiero que además aparezca el código hexadecimal de cada instrucción.

¿Alguien me podría decir cómo se pone? Si es que tiene la opción.

Aclaración: No me refiero a la ventana de volcado de memoria hexadecimal. Me refiero a dentro de la ventana de desensamblado, que además de las instrucciones y la dirección de memoria de cada instrucción, salga ahí mismo el código hexadecimal de cada instrucción.

Gracias.

[Quiero sumar el registro AX de 16 bits al registro EBX de 32 bits.]

Hola a todos. Mirad:

Quiero sumar el registro AX de 16 bits al registro EBX de 32 bits.

Entonces hago esto:

xor ecx, ecx
mov cx, ax
add ebx, ecx

Pregunta: ¿hay alguna manera de hacer esto MAS EFICIENTE? Me refiero con menos instrucciones sin necesidad de tener que utilizar el registro ECX auxiliar poniéndolo a cero. ¿?

GRACIAS.

Hola a todos. ¿Alguien me podría decir qué editor es el mejor o el que más usa, a la hora de programar código ASM? Gracias.

Hola a todos. ¿Alguien me podría decir qué editor es el mejor o el que más usa, a la hora de programar código ASM? Gracias.

Hola a todos. ¿Alguien me puede decir de dónde me puedo bajar un pdf o algo así, donde vengan todas las instrucciones ensamblador de INTEL x86 32 y 64 bits? Gracias.

Hola a todos. ¿Alguien me podría decir algún programa que muestre la info de un EXE PE?

O sea que le pases un EXE PE y te muestre las APIs que importa, las que exporta si es una DLL, toda la info de la cabecera, de las secciones, etcs.

Hola a todos. ¿Alguien me podría decir algún programa que muestre la info de un EXE PE?

O sea que le pases un EXE PE y te muestre las APIs que importa, las que exporta si es una DLL, toda la info de la cabecera, de las secciones, etcs.

Hola a todos. ¿Alguien me podría decir algún programa que muestre la info de un EXE PE?

O sea que le pases un EXE PE y te muestre las APIs que importa, las que exporta si es una DLL, toda la info de la cabecera, de las secciones, etcs.

Hola a todos. Soy nueva.

Alguien que me pueda orientar sobre estas dudas:

¿Los drivers SYS de Windows, si es Windowsx64 deben estar compilados en x64 para que se carguen? ¿Los drivers SYS pueden ser también de 32 bits? Y si es así: ¿Se pueden cargar también en Windowsx64?

Más: Un driver que escriba yo, lo registro, ¿y Windows lo carga? ¿O ocurre que si no tiene una signatura o firma Windows no lo carga?

Gracias.

Hola a todos. Soy nueva. Resulta que he escrito el siguiente driver que como véis es el básico. Lo compilo con el WDK en el "x86 Free Build Environment" y todo bien. Me genera el SYS. Luego uso el programa InstDrv. Primero le doy a Install y bien: se instala en el registro. Pero a continuación le doy a Start y no se inicia el driver, sino que InstDrv me da el siguiente mensaje-error: "a un expected error ocurried" y como os digo el driver no se ejecuta.

¿Alguien sabe por qué puede pasar esto? Porque el driver no puede ser más fácil.
Este es el driver:


#include "ntddk.h"

DRIVER_UNLOAD DriverUnload;

VOID DriverUnload(IN PDRIVER_OBJECT DriverObject) {
   DbgPrint("Descargandome");

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING  RegistryPath) {
   
   (*DriverObject).DriverUnload = (PDRIVER_UNLOAD)DriverUnload;

   DbgPrint("Cargandome");
   
   return(STATUS_SUCCESS);

}