윈도우 실행파일(계산기) 분석해보기 calc.exe(ver. Win10) 1.1 IMAGE_DOS_HEADER 대부분의 내용이 0으로 패딩된 것을 볼 수 있다. winnt.h [IMAGE_DOS_HEADER] e_magic(5A4D) - Window System에서는 리틀 엔디안이 사용되기 때문에 역순으로 적혀 있다. - Signature 정보는 MZ(4D 5A)이며 PE 파일 구조를 나타낸다. e_lfanew: (000000F8)IMAGE_NT_HEADER 시작주소 1.2 DOS Stud Code This program cannot be run in DOS mode 실행하지 않아도 정적 분석을 통해서 윈도우에서 실행되는 파일임을 알 수 있다. 1.3 IMAGE_NT_HEADERS 1.3.1 첫번째 si..
