티스토리 뷰
728x90
반응형
[Reversing] PE 파일 구조 찾기
helloworld.exe파일을 가지고 직접 찾아 보겠습니다.
- 파일 전체 구조
설명
- 1번은 IMAGE_NT_HEADER의 Signature 입니다.
- 2번은 IMAGE_FILE_HEADER의 Machine 입니다.
- 3번은 NumberOfSections 부분이며, 파일이 가진 섹션 수를 알려주고 있죠
- 4번은 TimeDateStamp입니다.
- 5번은 MAGE_OPTIONAL_HEADER32의 구조체 크기를 알수 있습니다.
1번은 IMAGE_OPTIONAL_HEADER의 Magic로 "32bit - 0x10B", "64bit - 0x20B" 입니다.
- 2번은 SizeOfCode로 코드 양의 전체 크기를 알려주죠
- 3번은 AddressOfEntryPoint 파일이 메모리에서 시작되는 지점을 알려주죠 (시작주소 RVA 값)
- 4번은 ImageBase로 로드할 가상 메모리 주소를 알려주죠
- 5번은 SizeOfImage 메모리에 로딩됐을 때 전체크기를 알려주죠
- 6번은 SizeOfHeaders PE 헤더의 크기를 알려주죠 (파일 시작 부분에서 SizeOfHeaders 만큼 떨어진 위치에서 첫 번째 섹션 시작)
728x90
반응형
'Reversing > ETC' 카테고리의 다른 글
| [Reversing] PE 포맷(Portable Executable) (0) | 2019.02.12 |
|---|---|
| [Reversing] IMAGE_NT_HEADER (0) | 2019.02.11 |
| [Reversing] IMAGE_DOS_HEADER (0) | 2019.02.08 |
| [Reversing] PE 파일 구조 (0) | 2019.01.30 |
| [Reversing] FLARE(FireEye Labs Advanced Reverse Engineering) VM (0) | 2018.12.09 |
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
250x250