기초 정적 분석_PE 파일 notepad.exe(ver. Win 10) Notepad.exe [IMAGE_DOS_HEADER] 첫번째 주소(5A4D): 앞에서 4D5A로 표현되어 있는데 이것을 보고 리틀엔디안인지 빅엔디안인지 알 수 있다. Window System에서는 리틀엔디안이 사용되기 때문에 역순으로 적혀있다. 헤더에서 signature 정보(MZ) winnt.h [IMAGE_DOS_HEADER] 단위: WORD(16진수를 4자리씩 끊어서 읽음) IMAGE_DOS_HEADER 내용은 거의 0으로 패딩된 것을 볼 수 있다. 그 중에서 중요한 정보 e_magic - 4D 5A(MZ): PE파일 구조_실제로는 5A 4D로 읽는다. - D0 CF 11 E0(OLE), 50 4B(ZIP), 25 50 44 ..
