-o-k's story

직접 EXE파일 만들어서 peview.exe로 분석해보기 1. PEtest.exe라는 프로그램 만들기 참고 https://t-okk.tistory.com/32?category=819930 Reversing 실습 - 기본 디버깅 1. 기본 디버깅: 프로그램 시작 주소 및 main 함수 확인 - Hello World!라는 프로그램 만들기 Ollydbg(v1.1)로 열어서 확인 Entry Point(윈도우 실행파일의 코드 시작점): 0040126F - Ollydbg에서 F7, F8, F9를.. t-okk.tistory.com 2. Binary File 2.1 IMAGE_DOS_HEADER winnt.h [IMAGE_DOS_HEADER] 주요 정보 e_magic: 4D 5A(MZ), PE 파일 구조 e_lfan..

기초 정적 분석_PE 파일 notepad.exe(ver. Win 10) Section_Header 실제 실행되는 섹션의 종류 IMAGE_SECTION_HEADER .text .text 섹션 주요 내용 값 멤버 의미 0x747865742E NAME 섹션이름 .text 0x01AE2C Virtual Size 메모리 섹션 크기 정보 0x1000 Virtual Address 메모리 섹션의 시작 주소, RVA Image Base가 0x1이므로 실제주소는 0x1001이 된다. Optional Header의 Base of Code 값과 동일 0x1B000 Size Of Raw Data 파일에서의 섹션 크기 (File Alignment의 배수) 0x400 Pointer To Raw Data 파일에서의 섹션의 시작 위치..

기초 정적 분석_PE 파일 notepad.exe(ver. Win 10) NT_Header 첫번째 signature : 4byte공간 PE구조 파일 명시 50 45: PE(아스키) 두번째 File_Header 1. Machine(CPU): 0x8664-AMD64 CPU/0x014c-Intel CPU 호환 2. 섹션의 개수: 0x0005 3. Time Data: 0x144CAAC5→340568773 - 계산하는 방법(예): /60=20792156분 35초, /60=346535시간 56분, /24=14438일 23시, /365=39년 203일 - (컴퓨터 기준)1970년 1월 1월 0시 + 39년 203일 23시 35초 = 2009년 7월 13일 23시 56분 35초 4. Pointer To Symbol Ta..

기초 정적 분석_PE 파일 notepad.exe(ver. Win 10) PE 파일 - 정의: 실행가능한 파일, Win32 기본 파일 형식_윈도우 환경에서 동작이 된다. - 종류: exe, scr, sys, dll, ocx 등 - 프로세스(메모리 상에서 실행되는 형태) = exe + dll - 실행과정 1) PE파일 실행(더블클릭, 커맨드에서 실행) 2) 메모리에 PE 헤더 정보를 매핑 - 실제 프로세스를 위한 메모리 할당, 섹션 정보를 메모리에 복사, Import 정보 처리, 기준 재배치 처리) 3) 실제 프로그램 코드로 분기 - Hex editor 이용(PEview.exe) PEView.exe notepad.exe(ver. Win 10) 프로그램 실행 영역: text 실제 데이터 영역은 SECTION ..