Cómo encontrar el Entry Point (EP) en Memoria y Disco

[Read this post in English]

 

El Entry Point (AddressOfEntryPoint) definido en el formato PECOFF para archivos ejecutables se refiere a la dirección en memoria donde se encuentra la primera instrucción que se debe ejecutar. Para encontrar dicha dirección tanto en memoria como en disco (RawData) se debe contar primero con la siguiente información dentro del ejecutable: Continue reading

El Formato PE (Portable Executable) Parte I

El Formato PE fue diseñado con la intención de poder generar archivos ejecutables compatibles con cualquier versión del sistema Windows que trabajen sobre procesadores de 32 y 64 bits. En este post mostraremos métodos que permitan comprender su estructura para que sirva en otras metodologías de análisis como ingeniería reversa de amenazas por ejemplo aunque no está limitado sólo a eso. Para un mejor aprendizaje abarcaremos los siguientes puntos: Continue reading