tag

entry point

EBFE, un simple truco para contrarrestar técnicas de Process Replacement

Process Replacement es un método para sobrescribir el espacio de memoria de un proceso en ejecución por uno con fines maliciosos, pero EBFE lo revierte.

Debuggeando archivos DLL empaquetados

Cuando empezamos a debuggear un archivo dll con OllyDbg, notaremos que el proceso es distinto en comparación con un ejecutable típico: la dll no es cargada en memoria de forma independiente, sino mediante otro archivo ejecutable que nos ofrece Olly. Por desgracia, si dicha dll está comprimida con algún packer, al debuggear podríamos obtener un entry point posterior a la rutina de unpacking. En este post exploraremos un pequeño truquito para solventar el problema mencionado.

Síguenos