[Reversing] PE 파일 구조 찾기
[Reversing] PE 파일 구조 찾기 파일을 가지고 직접 찾아 보겠습니다. 파일 전체 구조 설명 1번은 e_magic이며, MZ 입니다. MS-DOS 헤더의 시작이겠죠2번은 e_lfanew이며, IMAGE_NT_HEADER의 구조체 위치를 나타내죠 1번은 IMAGE_NT_HEADER의 Signature 입니다.2번은 IMAGE_FILE_HEADER의 Machine 입니다.3번은 NumberOfSections 부분이며, 파일이 가진 섹션 수를 알려주고 있죠4번은 TimeDateStamp입니다.5번은 MAGE_OPTIONAL_HEADER32의 구조체 크기를 알수 있습니다. 1번은 IMAGE_OPTIONAL_HEADER의 Magic로 "32bit - 0x10B", "64bit - 0x20B" 입니다.2번..
[Reversing] PE 파일 구조
[Reversing] PE 파일 구조 정확하지 않을 수 있으며, 전체를 다루지 않았습니다. 주요 구조 IMAGE_DOS_HEADER IMAGE_NT_HEADER IMAGE_FILE_HEADER IMAGE_OPTIONAL_HEADER IMAGE_SECTION_HEADER IMAGE_IMPORT_DESCRIPTOR IMAGE_EXPORT_DIRECTIORY IMAGE_IMPORT_BY_NAME IMAGE_THUNK_DATA32 peview로 바라본 PE 구조 IMAGE_DOS_HEADERtypedef struct _IMAGE_DOS_HEADER{ WORD e_magic; WORD e_cblp; WORD e_cp; WORD e_crlc; WORD e_cparhdr; WORD e_minalloc; WORD e_..
[Reversing] FLARE(FireEye Labs Advanced Reverse Engineering) VM
[Reversing] FLARE(FireEye Labs Advanced Reverse Engineering) VM FLARE 팀이 개발한 FLARE VM 설치 FLARE VM 관련 정보와 문서는 다음 깃허브 사이트에서 찾아볼 수 있습니다. https://github.com/fireeye/flare-vm 위 사진과 같이 해당 파일을 받아줍니다. VMware Workstation Pro Windows7 가상머신에서 해당 파일의 압축을 풀어 줍니다. 이후 Windows PowerShell을 실행 시켜줍니다. 위와 같은 명령어를 입력해 주면 설치가 되는데 그 전에 해당 install.ps1 파일의 속성 부분을 눌러보시면 "??해제" 와 같은 문구가 있었던걸로 기억하는데 설치한지가 꽤 되서 기억이 나지 않습니다...