IMAGE_OPTIONAL_HEADER 썸네일형 리스트형 NT Header - IMAGE_OPTIONAL_HEADER - IMAGE_DATA_DIRECTORY Import 함수들을 조사할 때 DataDirctory의 두 번째 배열을 참조하게 되빈다. 각각 해당 영역으로 갈 수 있는 RVA주소와 그 영역의 크기에 대한 정보를 담고 있습니다.Import Table로 이동하면 IMAGE_IMPORT_DESCRIPTOR 구조체를 알 수 있는데 해당 파일이 import하고 있는 DLL과 함수 정보들을 가지고 있습니다.API 후킹 시에 사용되는 중요한 테이블입니다. 더보기 NT Header - IMAGE_OPTIONAL_HEADER -Magic IMAGE_OPTIONAL_HEADER32인지 64인지를 구별하기 위한 값으로 32bit는 0x10B, 64bit는 0x20B를 가집니다. - MajorLinkerVersion, MinorLinkerVersion 어떤 버전의 컴파일러로 빌드했는지 알 수 있다. - SizeOfCode 코드 양의 전체크기를 나타내며, 보통 .text Section의 파일 크기를 나타냅니다 .text Section의 SizeOfRawData와 같은 값을 갖는다. 바이러스나 악성코드는 이 영역을 읽어 코드를 복제할 위치를 잡기도하고 보안 솔루션에서는 무결성 검사를 수행할 때 이 섹션 값을 얻어와 검사크기를 잡는다. - AddressOfEntryPoint 실제 파일이 메모리에 실행되는 시작지점이며 EP(Entry P.. 더보기 이전 1 다음
