티스토리 뷰
728x90
반응형
[Reversing] IMAGE_SECTION_HEADER
1. IMAGE_SECTION_HEADER
IMAGE_SECTION_HEADER 입니다.
IMAGE_SECTION_HEADER는 각각 섹션에 대한 정보가 저장되어 있습니다.
typedef struct _IMAGE_SECTION_HEADER {BYTE Name[IMAGE_SIZEOF_SHORT_NAME];
union {DWORD PhysicalAddress;DWORD VirtualSize;} Misc;DWORD VirtualAddress;DWORD SizeOfRawData;DWORD PointerToRawData;DWORD PointerToRelocations;DWORD PointerToLinenumbers;WORD NumberOfRelocations;WORD NumberOfLinenumbers;DWORD Characteristics;} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
IMAGE_SECTION_HEADER 구조체 입니다.
각 필드들을 알아보겠습니다.
1.1 Name
섹션의 이름을 나타내는 필드로 .text, .data등과 같은 이름이 들어가며 길이는 8자라고 합니다.(길이가 길 경우 앞에서부터 8자)
PEview, HxD 통해 직접 확인해보세요.
1.2 VirtualSize
PE 파일인 경우 사용되는 필드입니다. 그리고 섹션이 메모리상에서 갖는 크기를 저장합니다.
해당 값 확인 후 변환해보시면 해당 바이트만큼 공간을 차지한다는 것 입니다.
1.3 RVA
해당 섹션이 메모리 상에 올라갈때, 섹션이 시작하는 주소의 RVA 값을 가지고 있습니다.
1.4 PointerToRawData
해당 필드는 파일에서의 offset값을 가지고 있는 것입니다. (파일에서의 시작하는 위치)
1.5 SizeOfRawData
해당 필드는 파일의 섹션에 대한 내용을 담고 있습니다.
1.4, 1.5 필드를 통해 다음 섹션의 시작 offset을 알 수 있겠죠?
2. 섹션의 종류
728x90
반응형
'Reversing > ETC' 카테고리의 다른 글
[Reversing] 가능한 가장 작은 PE 실행 파일 만들기(Tiny PE) ② (0) | 2019.06.07 |
---|---|
[Reversing] 가능한 가장 작은 PE 실행 파일 만들기(Tiny PE) ① (0) | 2019.04.02 |
[Reversing] PE 포맷(Portable Executable) (0) | 2019.02.12 |
[Reversing] IMAGE_NT_HEADER (0) | 2019.02.11 |
[Reversing] IMAGE_DOS_HEADER (0) | 2019.02.08 |
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
250x250