Security/Reversing
[PE 파일] 구조(4) - PE 파일 섹션(Section_Header .text)
토오쓰
2020. 4. 9. 18:39
기초 정적 분석_PE 파일
notepad.exe(ver. Win 10)
Section_Header
실제 실행되는 섹션의 종류
IMAGE_SECTION_HEADER .text
.text 섹션 주요 내용
|
값 |
멤버 |
의미 |
|
0x747865742E |
NAME |
섹션이름 .text |
|
0x01AE2C |
Virtual Size |
메모리 섹션 크기 정보 |
|
0x1000 |
Virtual Address |
메모리 섹션의 시작 주소, RVA Image Base가 0x1이므로 실제주소는 0x1001이 된다. Optional Header의 Base of Code 값과 동일 |
|
0x1B000 |
Size Of Raw Data |
파일에서의 섹션 크기 (File Alignment의 배수) |
|
0x400 |
Pointer To Raw Data |
파일에서의 섹션의 시작 위치 |
|
0x60000020 |
Characteristics |
읽고 쓰기가 가능한 코드 섹션 정보 표시, OR 연산으로 표시 20000000(실행), 40000000(읽기), 20(코드) |
winnt.h [IMAGE_SECTION_HEADER]
