Mensajes

sí: quiero decir exactamente eso: que esas instrucciones son de 16 bits en toda regla.

otra cosa es que el procesador no conmute a modo real para ejecutarlas, claro.
pero no digas que esas instrucciones no son de 16 bits porque están operando con registros de 16 bits.

¿el prefijo 66h es invalido en 64 bits? te vuelvo a decir: ¿no me digas?

foto: notepad.exe de 64 bits, depurado con el WinDbg, en Windows Home 64 bits con procesador Intel 64 bits:

http://postimg.org/image/p3o3xva3j/

El S.O. no cambia a modo real una vez iniciado asi que el procesador no ejecuta instrucciones de 16 bits. No se para que uno lo podria querer igualmente  

mov    ax, 1234h
xor     bx, ax
...

¿Así que estas instrucciones de 16 bits no se ejecutan en el procesador (de 32, de 64)?
Vaya, vaya, ... no me digas.

Por poner un ejemplo: Windows Home 64 bits con procesador Intel 64 bits:
Depura el Notepad.exe (un ejecutable de 64 bits) y poco muy poco, pero verás algunas intrucciones, como esta:

xor    al, al
ret

muchas gracias!! Ninfrock y r32!!

hola! alguien sabe donde hay codigos fuente de bootkits para windows? gracias 

muy buena informacion.  

gracias!

y no se si esto va contra las reglas del foro o que, pero en ese articulo el escritor mencionaba una de sus fuentes para haberlo escrito, y era un libro, este:
Malware Analysts Cookbook and DVD

pues lo podeis descargar de aqui:
https://mega.co.nz/#!HZ1xjKbR!vDiocxKBbo5U_4R3N-bkddc-T9h5zZpu1Q4JAmtbPEw

gracias! no. no probé esa opcion.

ok la miraré.
sí: ahi se pueden configurar colores.

era solo tambien por si alguien tenia ya alguna configuracion o theme especifico para cargar (si es que se puede).

gracias por la respuesta.

hola! ¿alguien tiene su WinDbg configurado con colores? para que sea mas vistoso que la pantalla en blanco con las letras en negro. o si sabe de algun sitio donde bajarse themes para el WinDbg. gracias!

hola!

en 32 bits la instruccion RETF (Ret Far) saca de la pila un DWORD para el offset y otro DWORD para el code segment.

mi pregunta es:
¿en 64 bits hace lo mismo? ¿saca 2 DWORDS?
¿o en 64 bits saca 2 QWORDS?

gracias!

cpu2:

el trozo de codigo que ponia son las 6 lineas de una simple llamada a MessageBoxA en x64.
(no se necesita ver mas codigo, con esas 6 lineas vale para entender)

ese sub sí esta reservando espacio de pila para los parametros. aunque los parametros se pasen en registros: da igual.

regla en x64: el codigo que llama (en este caso las 6 lineas en asm) tiene que reservar espacio en la pila (creo que tantos qwords como parametros use), para que el codigo llamado (en este caso el user32.dll donde esta el MessageBoxA) pueda tener la posibilidad si quiere, de copiar esos parametros (que le llegan en registros) a la pila.

......................

finalmente: me respondo a mi mismo    la pregunta que hacia al foro:

es que investigué un poco y me parece que di con la solucion.

yo preguntaba que ese alinear la pila, como se hacia.
la respuesta es: en x64 hay que alinear la pila a 16 bytes.

entonces en el ejemplo: hay 4 parametros, luego hay que reservar 4 qwords. luego está la direccion de retorno que meterá la call, pero aqui no necesitamos reservar nada.
entonces tenemos que en la pila se ocuparan 5 qwords. como hay que alinear la pila a 16 bytes, eso hace que necesitemos reservar otro qword.

en total nuestro codigo tiene que reservar: 5 qwords.

y (5 * 8) = 40 bytes = 28h.

gracias BloodSharp y cpu2 por contestar.