[windbg 그림 삽입]*pe파일의 분석 시작도구- hexworkshop, winhex*pe파일의 큰 구조dos headerdos stub codepe header(file header ... 값은 무시해 버리셈64바이트이고 마지막 4바이트가 pe파일 시작 위치*dos stub codethis program must be run under microsoft windows라는 ... 값들은 이 값을 기본으로 한 가상 offset으로 RVA(relative virtual address)라고 부른다. exe파일일 경우에는 0x00400000 이고,-base of code
Code와 data가 하나의 섹션으로 되어있고 서로 뒤죽박죽 섞여 있다면 안정성에 문제가 생김.문자열 data에 값을 쓰다가 overflow 발생 했을 때 다음의 code(명령어) ... Address)로 위치를 표현# 파일의 내용은 보통 코드 (“,text”), 데이터(“.data” 섹션), 리소스(“.rsrc”) 섹션에 나뉘어서 저장# PE Header의 끝부분과 ... file시스템드라이버 (예: ntfs,sys)2GUI창 기반 애플리케이션 (예: notepad.exe)3CLI콘솔 기반 애플리케이션 (예: cmd.exe)10) NumberOfRavAndSizesIMAGE_OPTIONAL_HEADER32