Mensajes

Código (c) [Seleccionar] Expandir


//Intento 1: Al parecer no me da el valor que quiero
void *ptr;
unsigned char temp;
temp = (unsigned char *) &ptr;


hola, y si pruebas así..

Código (c) [Seleccionar] Expandir


void *ptr;
unsigned char *temp;
temp = (unsigned char *) ptr;



Sobre el intento 2, yo hice algo así y me funciono :

Código (c) [Seleccionar] Expandir


#include <stdio.h>
#include <stdlib.h>

int main()
{

    int x=5;
    void *ptr;
    ptr=&x;
    unsigned char temp;
    temp = *(unsigned char*)ptr;
    printf("Apunte a :%c \n",temp);
   
}



Gracias por ofrecerme tu ayuda, pero lo probé, y en mi caso particular no funciono. La funcion es la siguiente: (La postearé para que si alguna otra persona quiere ayudarme):

Código (c) [Seleccionar] Expandir


int callback(unsigned int event, void *ptr, void *ptr_additional, void *ptr_file){
    unsigned char temp;

    switch (event){
        case event_trash_byte_found_in_code:

            //Aqui hago lo que me dijiste
            temp = (unsigned char *) ptr;
            show_prefixe((FILE *) ptr_file, temp);
            fprintf((FILE *) ptr_file, "(reported by callback!!)\n");
            break;
        case event_instruction_decoded:

            ///Aqui hago lo que me dijiste
            temp = (unsigned char *) ptr_additional;
            fprintf((FILE *) ptr_file, "A instruction found!! 0x%x\n", temp);

            switch(temp){
                case general_opcode_push:
                    fprintf((FILE *) ptr_file, "push exx \n");
                    break;
                case general_opcode_pop:
                    fprintf((FILE *) ptr_file, "pop exx \n");
                    break;
                case general_opcode_inc:
                    fprintf((FILE *) ptr_file, "inc exx \n");
                    break;
                case general_opcode_dec:
                    fprintf((FILE *) ptr_file, "dec exx \n");
                    break;
            }

            break;
        default:
            break;
    }
}


Básicamente es una funcion, que dependiendo según sea un caso u otro, toma una decision. Show_prefixe recibe el byte temp, y lo imprime en un fichero. Creo que sería algo demasiado tedioso leer todo mi codigo (el cual es bastante extenso)

Bueno, gracias por tu ayuda. Lo intentaré nuevamente a haber si fue que seguí mal algun paso de los que me has dado.

Hola, amigos. ¿Como les ha ido? Tengo solo algunos conocimientos sobre el lenguaje C (No conozco mucho sobre C++).

Debido a eso tengo el siguiente problema: Tengo un puntero void que quiero convertir a unsigned char y obtener su valor (todo en la misma linea). Sin embargo, no he podido. ¿Será que alguien me puede ayudar?

Este es el codigo que tratado de hacer (Ya sé que ptr no apunta a ningun lado, pero es solo explicativo):

Código (c) [Seleccionar] Expandir



//Intento 1: Al parecer no me da el valor que quiero
void *ptr;
unsigned char temp;
temp = (unsigned char *) &ptr;

//Intento 2: El compilador no lo acepta.
void *ptr
unsigned char temp;
temp = (unsigned char) *ptr;



Ya he buscado por internet, pero no entiendo mucho sobre como hacer lo que expliqué antes. (El tema de los punteros se vuelve un poco enredado. XD).

Se supone que al aplicar * delante de un puntero, él debería devolver su valor. Entonces por qué el compilador no me acepta la segunda opcion???

Gracias a todos de antemano.

[cpu2]

Gracias cpu2 por tu ayuda. Bueno, si al parecer no hay otro método, seguiré por esa linea. Ah, en cuanto al byte Mod R/M ya he leído algo, específicamente he aprendido que puede estar embebido dentro del opcode en algunas ocasiones.

E incluso, (si no me equivoco), una parte del opcode, puede ir dentro del mod R/M. Bueno, seguiré leyendo más sobre x86 en los manuales de Intel.

Gracias por clarificarme de nuevo las cosas sobre Mod R/M.

Y que tal Debian??? No soy un usuario muy asiduo de linux, pero he oído buenas criticas de él. E incluso si no me equivoco el mismismo Ubuntu derivó de Debian.

Bueno, uno que he probado es Tiny Core Linux, que es un linux para ordenadores viejos. XD. No sé si te será útil, tiene buena pinta, al menos para computadores viejos.

La opcion más fáctible que veo sería Ubuntu. O debian.

Hola gracias a todos por sus respuestas. Por favor, ¿será que me pueden decir un método que sea rápido y eficiente para reconocer opcodes de un byte? He estado tratando que saber si ciertos bits están activados, y en ese caso reconocer si es un opcode valido (en ese caso se podría generalizar la instrucción push, descartando e ignorando los tres últimos bits).

He estado intentando con hacer un AND entre una máscara de bits (que selecciona cuáles bits debe considerar) y el byte a verificar si es opcode, y luego comparar el resultado con el opcode general.

Por ahora me ha dado algunos resultados, pero seguiré probandolo. ¿Será que alguien me puede decir si estoy procediendo de la mejor forma? ¿O habrá otra mejor?

Ah, reconocer opcodes de 16 bits no me interesa mucho, estoy centrado en 32 bits. Realmente solo quiero hacer un desensamblador que me reconozca las instrucciones de 32 bits, al menos las más usadas.

Gracias a todos de antemano.

Gracias por tu ayuda. Lo probaré luego y te comentaré los resultados. Supongo que si tengo algún problema puedo volver al foro, ¿o no.?

Ah, una duda, en la parte que dice

Código (cpp) [Seleccionar] Expandir


if((mascara & numeroMalo) != patron){

cout << "bueno 2 \n";

}else{

cout << "malo 2 \n";

}



No debería decir:

Código (cpp) [Seleccionar] Expandir



if((mascara & numeroMalo) == patron){

cout << "bueno 2 \n";

}else{

cout << "malo 2 \n";

}





Creo que se te escapó un error. XD. O si no, explicame por favor porque el ultimo if-else no sigue la logica del primero.

Gracias por tu ayuda.

Bueno, iré haciendo mis avances para ver si logro conseguirlo. XD.

Oye, ¿¿podrías explicarme con un ejemplo en C/C++?? Es que no tengo muy claro como podría colocar eso dentro de un if (en otras palabras, no entiendo como eso disparará el if solo cuando cierto patron de bits estén al comienzo del byte)

Hola, estoy creando un programa que necesita identificar un cierto patron de bits al inicio del byte. Por ejemplo: Si byte comienza con 10100xxx, ir al codigo tal.

Espero que haya explicado bien mi problema. La idea es saber si ciertos bits dentro de un byte están activados, e ignorar el resto. No sé como lograr eso. Quiero lograr comparar, por ejemplo, los primeros cinco bits contra un patron conocido. No quiero identificar solo un bit, quiero identificar un grupo de ellos.

Gracias por su ayuda.

Tienes razón Shout. Pero al menos debería existir algo introductorio para quienes se inician en el mundo del malware. Bueno, gracias por tu respuesta.