본문 바로가기
High Level Technique/Reversing

NT Header - IMAGE_NT_HEADER

k3y6reak 2015. 7. 9. 13:47











e_lfanew의 값인 E0 00 00 00 (00 00 00 E0)이 NT Header의 Offset입니다. 해당 값을 주소로 이동하면 IMAGE_NT_HEADER의 시작 주소 입니다.

리틀 엔디안이라는 것에 주의합니다.




- Signature

PE\0\0의 값을 갖습니다. PE 파일이라고 표시하는 용도로만 사용됩니다.

과거 바이러스 제작자들이 자신의 값을 표시하기 위해 사용했었지만 마이크로소프트에서 이러한 변조가 나타나면 실행시키지 않도록 보안하고 있습니다.



저작자표시 비영리 변경금지

'High Level Technique > Reversing' 카테고리의 다른 글

NT Header - IMAGE_OPTIONAL_HEADER  (0) 2015.07.09
NT Header - IMAGE_NT_HEADER - IMAGE_FILE_HEADER  (0) 2015.07.09
DOS Header - DOS Stub  (0) 2015.07.09
DOS Header - IMAGE_DOS_HEADER  (0) 2015.07.09
PE  (0) 2015.07.09

'High Level Technique/Reversing' Related Articles

티스토리툴바