포렌식에서 메모리 분석을 통해 파일을 카빙한다거나 하드디스크 이미지에서 파일을 카빙하여 해당 파일이 무엇인지

분석하려고 할 때 꼭 필요한 지식이기에 이렇게 상세하게 공부를 해 본다.

일반적으로 포렌식에서 파일을 분석 할 경우는 악성코드로 의심되는 파일을 분석하는 경우로 정적분석과 동적분석을 하게

되는데 리버스 엔지니어링 같은 경우에는 정적분석에 속한다.

정적분석을 할 경우 어셈블리어와 메모리 구조 등에 대한 지식도 있어야 하지만, PE구조에 대한 지식도 있어야 하기에

이렇게 상세히 PE 구조를 몇개의 포스팅을 거쳐 알아 볼 것이다.

PE(Portable Executable)파일포맷은 윈도우에 해당하는 파일포맷으로 .exe, .dll, .cpl, .sys, .scr, .drv, .vxd, .ocx 확장자를

가진 파일들에게서 볼 수 있다.

PE 구조를 보다보면 IMAGE로 시작하는 구조체들을 많이 보게 되는데 이는 윈도우에서 실행파일을 IMAGE라는 명칭으로

대신하기 때문에 구조체 이름도 그렇게 지은 것이다.

PE 구조는 간단하게 보면 아래와 같다.

[그림 1 - PE 구조 간단 도식화]

세부적으로 들어가면 많은 양의 구조체들과 구조체 멤버들이 나와 설명하려면 꽤나 많은 분량이 될 것이다.

그렇기에 여러개의 단편으로 나누어 각 부분을 알아 볼 것이다. 

'[+] Information > [-] RCE' 카테고리의 다른 글

PE 구조 (3)  (0) 2011.12.30
PE 구조 (2)  (0) 2011.12.29
PE 구조 (1)  (0) 2011.12.29
Lena's Tutorial 11 상세 분석  (0) 2011.10.13
Lena's Tutorial 9 상세 분석  (0) 2011.10.12


배포는 자유, 수정은 금물.

'[+] Information > [-] RCE' 카테고리의 다른 글

PE 구조 (2)  (0) 2011.12.29
PE 구조 (1)  (0) 2011.12.29
Lena's Tutorial 11 상세 분석  (0) 2011.10.13
Lena's Tutorial 9 상세 분석  (0) 2011.10.12
Lena's Tutorial 8 상세 분석  (0) 2011.10.11


배포는 자유 수정은 금물.

'[+] Information > [-] RCE' 카테고리의 다른 글

PE 구조 (1)  (0) 2011.12.29
Lena's Tutorial 11 상세 분석  (0) 2011.10.13
Lena's Tutorial 9 상세 분석  (0) 2011.10.12
Lena's Tutorial 8 상세 분석  (0) 2011.10.11
Lena's Tutorial 7 상세분석  (0) 2011.10.10


배포는 자유 수정은 금물.

'[+] Information > [-] RCE' 카테고리의 다른 글

Lena's Tutorial 11 상세 분석  (0) 2011.10.13
Lena's Tutorial 9 상세 분석  (0) 2011.10.12
Lena's Tutorial 8 상세 분석  (0) 2011.10.11
Lena's Tutorial 7 상세분석  (0) 2011.10.10
Lena's Tutorial 4 상세분석  (0) 2011.10.08


배포는 자유 수정은 금물.


'[+] Information > [-] RCE' 카테고리의 다른 글

Lena's Tutorial 9 상세 분석  (0) 2011.10.12
Lena's Tutorial 8 상세 분석  (0) 2011.10.11
Lena's Tutorial 7 상세분석  (0) 2011.10.10
Lena's Tutorial 4 상세분석  (0) 2011.10.08
Lena's Tutorial 3 상세분석  (0) 2011.10.08

+ Recent posts