Algo tarde la entrada pero hoy no fue un dia, regular estuve trabajando y despues de salir a caminar para despejar la mente, toco estudiar un poco que la certificación ya se avecina  y andamos preparandonos como corresponde. 

En esta entrada como el título del post lo menciona veremos como identificar si un ejecutable (fichero) es de 32 o 64 bits, viendo sus valores hexadecimales, antes de todo esta referencia se encuentra en el Tutorial 1 del  Curso de reversing desde 0 con IDA de Ricardo Narvaja el cual me encuentro desde el fin de semana leyendo, y esten por seguro que esta no sera la última ni única entrada donde veamos estos temas. 

Algo a tener en cuenta en ambos casos es que tenemos que buscarla palabra PE la cual posterior a ello segun lo que tenga nos ayudara a determinar.

Identificando si es de 32 Bits

Como mencionamos tenemos que identificar la palabra PE y seguida de ella el siguiente valor L teniendo como resultado PE..L como se muestra en la siguiente captura, el ejecutable que procedo a analizar es PentestBox.exe

Identificando si es de 64 Bits

Del mismo modo que el anterior se debe identificar la palabra PE y seguida de ella el siguiente valor d† teniendo como resultado PE..d† como se muestra en la siguiente captura, el ejecutable que procedo a analizar es sublime_text.exe

Por mi parte no conocia esta manera de identificar si un ejecutable es de 32 o 64 bits,  y tu lo conocias? como lo menciono en el post iremos trayendo mas material, tips y referencias relacionado a ello y nuevamente dar las gracias a Ricardo Narvaja y su ultimo gran aporte del Curso de reversing desde 0 con IDA

«Si un hombre no sabe a qué puerto navega, ningún viento es favorable.» - Lucio Anneo Séneca

Regards,
Snifer