-o-k's story

직접 EXE파일 만들어서 peview.exe로 분석해보기 1. PEtest.exe라는 프로그램 만들기 참고 https://t-okk.tistory.com/32?category=819930 Reversing 실습 - 기본 디버깅 1. 기본 디버깅: 프로그램 시작 주소 및 main 함수 확인 - Hello World!라는 프로그램 만들기 Ollydbg(v1.1)로 열어서 확인 Entry Point(윈도우 실행파일의 코드 시작점): 0040126F - Ollydbg에서 F7, F8, F9를.. t-okk.tistory.com 2. Binary File 2.1 IMAGE_DOS_HEADER winnt.h [IMAGE_DOS_HEADER] 주요 정보 e_magic: 4D 5A(MZ), PE 파일 구조 e_lfan..

윈도우 실행파일(계산기) 분석해보기 calc.exe(ver. Win10) 1.1 IMAGE_DOS_HEADER 대부분의 내용이 0으로 패딩된 것을 볼 수 있다. winnt.h [IMAGE_DOS_HEADER] e_magic(5A4D) - Window System에서는 리틀 엔디안이 사용되기 때문에 역순으로 적혀 있다. - Signature 정보는 MZ(4D 5A)이며 PE 파일 구조를 나타낸다. e_lfanew: (000000F8)IMAGE_NT_HEADER 시작주소 1.2 DOS Stud Code This program cannot be run in DOS mode 실행하지 않아도 정적 분석을 통해서 윈도우에서 실행되는 파일임을 알 수 있다. 1.3 IMAGE_NT_HEADERS 1.3.1 첫번째 si..

기초 정적 분석_PE 파일 notepad.exe(ver. Win 10) Section_Header 실제 실행되는 섹션의 종류 IMAGE_SECTION_HEADER .text .text 섹션 주요 내용 값 멤버 의미 0x747865742E NAME 섹션이름 .text 0x01AE2C Virtual Size 메모리 섹션 크기 정보 0x1000 Virtual Address 메모리 섹션의 시작 주소, RVA Image Base가 0x1이므로 실제주소는 0x1001이 된다. Optional Header의 Base of Code 값과 동일 0x1B000 Size Of Raw Data 파일에서의 섹션 크기 (File Alignment의 배수) 0x400 Pointer To Raw Data 파일에서의 섹션의 시작 위치..

기초 정적 분석_PE 파일 notepad.exe(ver. Win 10) NT_Header 첫번째 signature : 4byte공간 PE구조 파일 명시 50 45: PE(아스키) 두번째 File_Header 1. Machine(CPU): 0x8664-AMD64 CPU/0x014c-Intel CPU 호환 2. 섹션의 개수: 0x0005 3. Time Data: 0x144CAAC5→340568773 - 계산하는 방법(예): /60=20792156분 35초, /60=346535시간 56분, /24=14438일 23시, /365=39년 203일 - (컴퓨터 기준)1970년 1월 1월 0시 + 39년 203일 23시 35초 = 2009년 7월 13일 23시 56분 35초 4. Pointer To Symbol Ta..

기초 정적 분석_PE 파일 notepad.exe(ver. Win 10) Notepad.exe [IMAGE_DOS_HEADER] 첫번째 주소(5A4D): 앞에서 4D5A로 표현되어 있는데 이것을 보고 리틀엔디안인지 빅엔디안인지 알 수 있다. Window System에서는 리틀엔디안이 사용되기 때문에 역순으로 적혀있다. 헤더에서 signature 정보(MZ) winnt.h [IMAGE_DOS_HEADER] 단위: WORD(16진수를 4자리씩 끊어서 읽음) IMAGE_DOS_HEADER 내용은 거의 0으로 패딩된 것을 볼 수 있다. 그 중에서 중요한 정보 e_magic - 4D 5A(MZ): PE파일 구조_실제로는 5A 4D로 읽는다. - D0 CF 11 E0(OLE), 50 4B(ZIP), 25 50 44 ..

기초 정적 분석_PE 파일 notepad.exe(ver. Win 10) PE 파일 - 정의: 실행가능한 파일, Win32 기본 파일 형식_윈도우 환경에서 동작이 된다. - 종류: exe, scr, sys, dll, ocx 등 - 프로세스(메모리 상에서 실행되는 형태) = exe + dll - 실행과정 1) PE파일 실행(더블클릭, 커맨드에서 실행) 2) 메모리에 PE 헤더 정보를 매핑 - 실제 프로세스를 위한 메모리 할당, 섹션 정보를 메모리에 복사, Import 정보 처리, 기준 재배치 처리) 3) 실제 프로그램 코드로 분기 - Hex editor 이용(PEview.exe) PEView.exe notepad.exe(ver. Win 10) 프로그램 실행 영역: text 실제 데이터 영역은 SECTION ..