포렌식에서 메모리 분석을 통해 파일을 카빙한다거나 하드디스크 이미지에서 파일을 카빙하여 해당 파일이 무엇인지
분석하려고 할 때 꼭 필요한 지식이기에 이렇게 상세하게 공부를 해 본다.
일반적으로 포렌식에서 파일을 분석 할 경우는 악성코드로 의심되는 파일을 분석하는 경우로 정적분석과 동적분석을 하게
되는데 리버스 엔지니어링 같은 경우에는 정적분석에 속한다.
정적분석을 할 경우 어셈블리어와 메모리 구조 등에 대한 지식도 있어야 하지만, PE구조에 대한 지식도 있어야 하기에
이렇게 상세히 PE 구조를 몇개의 포스팅을 거쳐 알아 볼 것이다.
PE(Portable Executable)파일포맷은 윈도우에 해당하는 파일포맷으로 .exe, .dll, .cpl, .sys, .scr, .drv, .vxd, .ocx 확장자를
가진 파일들에게서 볼 수 있다.
PE 구조를 보다보면 IMAGE로 시작하는 구조체들을 많이 보게 되는데 이는 윈도우에서 실행파일을 IMAGE라는 명칭으로
대신하기 때문에 구조체 이름도 그렇게 지은 것이다.
PE 구조는 간단하게 보면 아래와 같다.
세부적으로 들어가면 많은 양의 구조체들과 구조체 멤버들이 나와 설명하려면 꽤나 많은 분량이 될 것이다.
그렇기에 여러개의 단편으로 나누어 각 부분을 알아 볼 것이다.
분석하려고 할 때 꼭 필요한 지식이기에 이렇게 상세하게 공부를 해 본다.
일반적으로 포렌식에서 파일을 분석 할 경우는 악성코드로 의심되는 파일을 분석하는 경우로 정적분석과 동적분석을 하게
되는데 리버스 엔지니어링 같은 경우에는 정적분석에 속한다.
정적분석을 할 경우 어셈블리어와 메모리 구조 등에 대한 지식도 있어야 하지만, PE구조에 대한 지식도 있어야 하기에
이렇게 상세히 PE 구조를 몇개의 포스팅을 거쳐 알아 볼 것이다.
PE(Portable Executable)파일포맷은 윈도우에 해당하는 파일포맷으로 .exe, .dll, .cpl, .sys, .scr, .drv, .vxd, .ocx 확장자를
가진 파일들에게서 볼 수 있다.
PE 구조를 보다보면 IMAGE로 시작하는 구조체들을 많이 보게 되는데 이는 윈도우에서 실행파일을 IMAGE라는 명칭으로
대신하기 때문에 구조체 이름도 그렇게 지은 것이다.
PE 구조는 간단하게 보면 아래와 같다.
[그림 1 - PE 구조 간단 도식화]
세부적으로 들어가면 많은 양의 구조체들과 구조체 멤버들이 나와 설명하려면 꽤나 많은 분량이 될 것이다.
그렇기에 여러개의 단편으로 나누어 각 부분을 알아 볼 것이다.
'[+] Information > [-] RCE' 카테고리의 다른 글
| PE 구조 (3) (0) | 2011.12.30 |
|---|---|
| PE 구조 (2) (0) | 2011.12.29 |
| Lena's Tutorial 11 상세 분석 (0) | 2011.10.13 |
| Lena's Tutorial 9 상세 분석 (0) | 2011.10.12 |
