Windows PE 실습 ( 수정 필요 )

Helloworld.exe파일의 windowsPE분석 실시

1. Section의 개수를 나타내는 위치와 값을 찾으시오

위치 : 000000EE 개수 : 4개

 

2. Optional Header의 크기를 나타내는 위치와 값을 찾으시오

위치 : 00 00 00 FC  값 : E0

 

3. Address of EntryPoint의 역할 및 위치와 값을 찾으시오

위치 : 00 00 01 10 값 : 00 00 11 A0

역할 : 메모리에 올라갈 때 시작점

 

4. Image Base 역할 및 위치와 값을 찾으시오

위치 : 00 00 01 1C 값 : 00 40 00 00 00

역할 : 간접 주소 방식에서 기준점

 

5. Section Alignment와 File Alignment의 위치와 값을 찾으시오

SECTION : 1000 FILE : 200

 

6. 각 섹션의 offset 및 address 시작 위치와 크기를 찾으시오

TEST SECTION - offset 시작위치 : 1000 // 총 크기 : 60A4              address 시작위치 : 400 // 총 크기 : 6200

RDATA SECTION - 시작 위치 : 8000 // 총 크기 : 1BB0            시작위치 : 6600 // 총 크기 : 1C00

DATA SECTION- 시작 위치 : A000 // 총 크기 : 18DC               시작위치 : 8200 // 총 크기 :E00

 

7. user32.dll 의 INT와 IAT의 위치를 찾으시오

Import의 시작위치(RVA) : 965C(965C-8000+6600) = 7C5C

Import의 총 크기 : 3C

 

INT : 977C [7D7C=977C-8000+6600] > 0000 9784 > 00409784(ollydbg로 확인)

 

NAME : 9792 [7D92=9792-8000+6600] > user32.dll

IAT : 80E4 [66E4=80E4-8000+6600] > MessageBoxW