기초 정적 분석_PE 파일
notepad.exe(ver. Win 10)
Section_Header
실제 실행되는 섹션의 종류
IMAGE_SECTION_HEADER .text
.text 섹션 주요 내용
|
값 |
멤버 |
의미 |
|
0x747865742E |
NAME |
섹션이름 .text |
|
0x01AE2C |
Virtual Size |
메모리 섹션 크기 정보 |
|
0x1000 |
Virtual Address |
메모리 섹션의 시작 주소, RVA Image Base가 0x1이므로 실제주소는 0x1001이 된다. Optional Header의 Base of Code 값과 동일 |
|
0x1B000 |
Size Of Raw Data |
파일에서의 섹션 크기 (File Alignment의 배수) |
|
0x400 |
Pointer To Raw Data |
파일에서의 섹션의 시작 위치 |
|
0x60000020 |
Characteristics |
읽고 쓰기가 가능한 코드 섹션 정보 표시, OR 연산으로 표시 20000000(실행), 40000000(읽기), 20(코드) |
winnt.h [IMAGE_SECTION_HEADER]
'Security > Reversing' 카테고리의 다른 글
| [PE 파일] 분석 - PEtest.exe (with PEview) (1) | 2020.04.10 |
|---|---|
| [PE 파일] 분석 - calc.exe (with PEview) (1) | 2020.04.09 |
| [PE 파일] 구조(3) - PE 파일 헤더(NT_Header) (2) | 2020.04.09 |
| [PE 파일] 구조(2) - PE 파일 헤더(DOS_HEADER, DOS Stud Code) (2) | 2020.04.09 |
| [PE 파일] 구조(1) - PE파일 정의, 구조(PEview.exe) (2) | 2020.04.09 |