20140819 업무일지 박영주

1. PE 실행파일 구조

 

1-1) DOS 헤더 구조체

WORD : 16 * 2 = 32

WORD 배열 : (4*2) + (10*2 ) = 28

LONG : 4

DOS 해더의 크기는 64BYTE

마지막의 4BYTE에서 D0 00 00 00 는 PE해더의 위치를 가리킴

1-2) STUB CODE

도스 모드에서 이파일이 실행되는 것을 막기 위한 것

DOS 해더 구조체에서 e_lfanew필드가 고정적인게 아닌 가변적인 것도 도스

STUB 영역의크기가 가변적이라 STUB 영역 다음이 IMAGE_NT_HEADER 구

조체가위치하니 STUB 영역의 크기가 변하면 e_lfanew필드의 값도 변함

1-3) IMAGE_NT_HEADER

Signature : PE파일 구조인지 아닌지 체크할 수 있음

1-4) IMAGE_FILE_HEADER

Machine : 이 파일이 어떤 CPU에서 동작할 수 있는지 ,실행될 수 있는 CPU

의 타입을 정함

1-5 ) IMAGE_OPTIONAL_HEADER

아직 설명은 안하고 숙제 !! 모든 구조체의 값 출력하기...

 

 

< TIP >

OPTIONAL_HEADER 출력하기

 

숙제 꼭 하고 오시길 뒷통수 치면 안됨!!