๐ Secure
-
INT / IAT ( Import ๊ด๋ จ Table ) ๋ผ์ด๋ธ๋ฌ๋ฆฌ / DLL ํ์ผ SYS ํ์ผ ์ ํ๋ฆฌ์ผ์ด์ ์ด ์คํํ ๋ DOS ์์ ์ ๊ด๋ จ ๋ผ์ด๋ธ๋ฌ๋ฆฌ๋ ์ ๋ถ ํฌํจํด์ ์ฝ๋ฉ ํจ์๋ฅผ ๋ถ๋ฌ์ค๋ ์์ผ๋ก ๋ผ์ด๋ธ๋ฌ๋ฆฌ๋ฅผ ๋ง๋ค์ kernel32.dll ๋ผ๋ ๋ผ์ด๋ธ๋ฌ๋ฆฌ ์์ ์ฌ๋ฌ๊ฐ์ ํจ์๋ค Import Name Table > DLL ์ด๋ฆ์ ์ฐพ๊ณ Import Application Table > ํจ์๋ฅผ ์ฐพ๋๋ค MAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; // INT(Import Name Table) address (RVA) }; DWORD TimeDateStamp; DWORD ForwarderChain; DWORD Name;..
INT / IATINT / IAT ( Import ๊ด๋ จ Table ) ๋ผ์ด๋ธ๋ฌ๋ฆฌ / DLL ํ์ผ SYS ํ์ผ ์ ํ๋ฆฌ์ผ์ด์ ์ด ์คํํ ๋ DOS ์์ ์ ๊ด๋ จ ๋ผ์ด๋ธ๋ฌ๋ฆฌ๋ ์ ๋ถ ํฌํจํด์ ์ฝ๋ฉ ํจ์๋ฅผ ๋ถ๋ฌ์ค๋ ์์ผ๋ก ๋ผ์ด๋ธ๋ฌ๋ฆฌ๋ฅผ ๋ง๋ค์ kernel32.dll ๋ผ๋ ๋ผ์ด๋ธ๋ฌ๋ฆฌ ์์ ์ฌ๋ฌ๊ฐ์ ํจ์๋ค Import Name Table > DLL ์ด๋ฆ์ ์ฐพ๊ณ Import Application Table > ํจ์๋ฅผ ์ฐพ๋๋ค MAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; // INT(Import Name Table) address (RVA) }; DWORD TimeDateStamp; DWORD ForwarderChain; DWORD Name;..
2022.06.23 -
Windows PE ๊ตฌ์กฐ 1. Windows Preinstallation Environment 2. Windows Portable Executable 1. Dos Header > ์๊ทธ๋์ฒ ์ฝ๋ : MZ (4D 5A) 2. Dos Stub > ์๋ฏธ ์๋ ์ฝ๋๋ก ๋ง์๋๋ก ๋ณ๊ฒฝํด๋ ์คํ์ ๋ฌธ์ ๊ฐ ์๋ค 3. NT Header 3-1) Signature > ์๊ทธ๋์ฒ ์ฝ๋ : PE(50 45) 3-2) File Header WORD Machine; > ํ์ฌ ์ปดํจํฐ์ ์ข ๋ฅ : 01 4C ( ๋๋ธ์๋ ํ์ ๋์๊ธฐ์ ๋ค์งํ ) WORD NumberOfSections; > ์น์ ์ ๊ฐ์ : 00 03 ( ๋๋ธ์๋ ํ์ ๋์๊ธฐ์ ๋ค์งํ ) DWORD TimeDateStamp; > ์์ฑ ์๊ฐ : 48 02 52 87 ( ๋๋ธ์..
Window PEWindows PE ๊ตฌ์กฐ 1. Windows Preinstallation Environment 2. Windows Portable Executable 1. Dos Header > ์๊ทธ๋์ฒ ์ฝ๋ : MZ (4D 5A) 2. Dos Stub > ์๋ฏธ ์๋ ์ฝ๋๋ก ๋ง์๋๋ก ๋ณ๊ฒฝํด๋ ์คํ์ ๋ฌธ์ ๊ฐ ์๋ค 3. NT Header 3-1) Signature > ์๊ทธ๋์ฒ ์ฝ๋ : PE(50 45) 3-2) File Header WORD Machine; > ํ์ฌ ์ปดํจํฐ์ ์ข ๋ฅ : 01 4C ( ๋๋ธ์๋ ํ์ ๋์๊ธฐ์ ๋ค์งํ ) WORD NumberOfSections; > ์น์ ์ ๊ฐ์ : 00 03 ( ๋๋ธ์๋ ํ์ ๋์๊ธฐ์ ๋ค์งํ ) DWORD TimeDateStamp; > ์์ฑ ์๊ฐ : 48 02 52 87 ( ๋๋ธ์..
2022.06.22