※ UPack - Upack(Ultimate PE 패커)은 실행 압축기(PE Run-Time 패커)이다. Upack의 특징은 PE 헤더를 독특한 방식으로 변형시킨다. #1. 헤더 겹쳐쓰기 - MZ 헤더(IMAGE_DOS_HEADER)와 PE 헤더(IMAGE_NT_HEADERS)를 겹쳐씀으로 해서 분석하는데 복잡성을 증가 시켰다. (offset 0) e_magic Magic number = 4D5A('MZ') (offset 3C) e_lfanew File address of new exe header - MZ 헤더 (IMAGE_DOS_HEADER)에서는 다음 두 멤버가 중요하며 그외 나머지는 프로그램 실행에 아무런 영향을 끼치지 않는다. - PE File Format의 스펙에 따라서 IMAGE_NT_HEADERS의 시작 위치가 '가변적'이며 e_lfanew의 값에 따라서 IMAGE_NT_HEADERS의 시작 위치가 결정된다. 보통 정상적인 프로그램에서는 e_lfanew 값은 아래와 같...
#1
#2
#3
#4
#5
#6
#7
원문링크 : UPack PE 헤더 분석 (notepad.exe)
네이버 블로그
티스토리
커뮤니티