정짱의 작은 도서관

[Reversing] IMAGE_SECTION_HEADER1. IMAGE_SECTION_HEADERPE 헤더의 마지막 영역인 IMAGE_SECTION_HEADER 입니다.IMAGE_SECTION_HEADER는 각각 섹션에 대한 정보가 저장되어 있습니다.typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; ..

[Reversing] IMAGE_DATA_DIRECTORY1. IMAGE_DATA_DIRECTORYIMAGE_DATA_DIRECTORY 구조체는 IMAGE_OPTIONAL_HEADER 구조체의 구성요소입니다.IMAGE_DATA_DIRECTORY 구조체를 구성하는 요소들입니다.총 16개로 IMAGE_DATA_DIRECTORY[0] ~ IMAGE_DATA_DIRECTORY[15] 입니다.마지막 부븐은 0x0 값으로 채워져있어 의미가 없는 부분이..

[Reversing] IMAGE_NT_HEADERIMAGE_NT_HEADERtypedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER32 OptionalHeader;} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;위 그림은 IMAGE_NT_HEADE..

[Reversing] IMAGE_DOS_HEADERIMAGE_DOS_HEADERtypedef struct _IMAGE_DOS_HEADER{ WORD e_magic; WORD e_cblp; WORD e_cp; WORD e_crlc; WORD e_cparhdr; WORD e_minalloc; WORD e_maxalloc; WORD e_ss; WORD e_sp; WORD e_csum;..

[Reversing] PE 파일 구조 찾기 파일을 가지고 직접 찾아 보겠습니다.파일 전체 구조설명1번은 e_magic이며, MZ 입니다. MS-DOS 헤더의 시작이겠죠2번은 e_lfanew이며, IMAGE_NT_HEADER의 구조체 위치를 나타내죠1번은 IMAGE_NT_HEADER의 Signature 입니다.2번은 IMAGE_FILE_HEADER의 Machine 입니다.3번은 NumberOfSections 부분이며, 파일이..

[Reversing] PE 파일 구조정확하지 않을 수 있으며, 전체를 다루지 않았습니다.주요 구조 IMAGE_DOS_HEADER  IMAGE_NT_HEADER IMAGE_FILE_HEADER IMAGE_OPTIONAL_HEADER IMAGE_SECTION_HEADER IMAGE_IMPORT_DESCRIPTOR IMAGE_EXPORT_DIRECTIORY IMAGE_IMPO..

[Reversing] FLARE(FireEye Labs Advanced Reverse Engineering) VMFLARE 팀이 개발한 FLARE VM 설치FLARE VM 관련 정보와 문서는 다음 깃허브 사이트에서 찾아볼 수 있습니다.https://github.com/fireeye/flare-vm위 사진과 같이 해당 파일을 받아줍니다.VMware Workstation Pro Windows7 가상머신에서 해당 파일의 압축을 풀어 줍니다.이후 Windo..