PE(Portable Excutable) 파일
PE 파일이란?
- Win32 기본 파일 형식
- exe, scr, sys, dll, ocx 등
- Process : EXE +DLL
- 실행 과정
- PE 파일 실행
- dll은 더블 클릭해도 실행되지 않음! dll은 exe가 call 해야 실행이 됨
- PE 헤더 정보를 메모리에 매핑
- 실제 프로세스를 위한 메모리 할당
- 섹션 정보를 메모리에 복사
- Import 정보 처리
- 기준 재배치 처리
- 실제 프로그램 코드로 분기
- https://learn.microsoft.com/ko-kr/windows/win32/debug/pe-format
- PE 파일 실행
PE 파일 포맷
- 윈도우 실행 파일 포맷: DLL, PE(Portable Executable)
- PE file header
- PE file header에서 대부분의 정보를 수집할 수 있음
- 코드에 관한 정보
- 애플리케이션 유형
- 필요한 라이브러리 함수
- 메모리 공간요구 사항
- 주로 보는 내용은 링크 라이브러리와 함수
PE 파일 헤더와 섹션 - 실행 영역
PE 파일 헤더와 섹션 - PE 헤더 내 정보
PE 파일 분석 도구
- PeView: PE 파일 점검
- PEBrowse Professinal
- PE Explorer
- Resource Hacker: 특정 PE 파일에서 resource 영역만 보여줌
- rsrc 프로그램(리소스 정보)을 다 읽음
- Resource Hacker에는 반드시 윈도우 프로그램만 넣어야 함
'Study > 악성코드' 카테고리의 다른 글
| [윈도우즈 보안과 악성코드 기초] 기초 정적 분석 - Practical Malware Analysis Lab01-02.exe (0) | 2024.04.10 |
|---|---|
| [윈도우즈 보안과 악성코드 기초] 기초 정적 분석 - Practical Malware Analysis Lab01-01.exe & Lab01-01.dll (0) | 2024.04.10 |
| [윈도우즈 보안과 악성코드 기초] 기초 정적 분석 (0) | 2024.04.06 |
| [윈도우즈 보안과 악성코드 기초] PE 파일 구조 (0) | 2024.03.30 |
| [윈도우즈 보안과 악성코드 기초] 리버싱 이론 실습_crackme#1, #3 (0) | 2024.03.30 |
