![Unpacking [ezbeat].pdf](https://img.yumpu.com/17490983/4/500x640/unpacking-ezbeatpdf.jpg)
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
[ 그림 4 ]<br />
무엇으로 컴파일 되었는지에 대한 정보는 안 나와 있고 UPX로 패킹이 되어 있다고 나타나<br />
있습니다. 전 PEID도 사용하지만 이 툴도 많이 사용합니다. 아래 빨간색 네모 친 부분을 보<br />
면 해당 파일을 무엇으로 언패킹을 해야 하는지 까지 어느 정도 힌트를 주기 때문입니다.<br />
이제 패킹을 하는 것은 우리의 목적이 아니었고 해당 파일의 코드가 어떻게 변했는지 알아<br />
보려고 했으므로 해당 파일을 Hex Edit으로 봐보겠습니다. Hex Edit으로 볼 때 PE<br />
Header부분에서 Section Header부분 만 봐보겠습니다. 왜냐하면 패킹을 해도 결국은 윈도<br />
우에서 실행되어야 합니다. 즉, 실행되려면 PE구조를 깨서는 안 됩니다. 그렇기 때문에 PE<br />
형식은 그대로 유지하고 있으면서 코드 부분만 압축을 하는 형식이기 때문에 Section에 대<br />
한 정보를 가지고 있는 Section Header만 보는 것입니다.<br />
패킹을 하지 않은 파일의 Section Header부분을 봐보겠습니다.<br />
[ 그림 5 ]<br />
PE구조에 대한 문서는 많이 있으므로 잘 이해가 안되시는 분들은 PE구조를 보시고 오시면<br />
되겠습니다.<br />
이제 위 Section Header를 가지고 Section부분을 나타내보겠습니다.<br />
총 4개의 섹션이 존재하며 메모리상에서가 아닌 파일 상에서만 나타내도록 하겠습니다.<br />
(패딩 부분은 그림에서 뺐습니다.)<br />
- 4 -
![PC 어셈블리어 [이재범].pdf - Tistory](https://img.yumpu.com/17491210/1/184x260/pc-pdf-tistory.jpg?quality=85)
![Autoruns [hahaj1].pdf](https://img.yumpu.com/17491028/1/184x260/autoruns-hahaj1pdf.jpg?quality=85)
![IDA Remote Debugging [CodeEngn].pdf](https://img.yumpu.com/17490906/1/184x260/ida-remote-debugging-codeengnpdf.jpg?quality=85)
![dll과 cow [k0nni3].pdf](https://img.yumpu.com/17490887/1/184x260/dll-cow-k0nni3pdf.jpg?quality=85)
![TCP View란 [hahaj1].pdf](https://img.yumpu.com/17490864/1/184x260/tcp-view-hahaj1pdf.jpg?quality=85)
![기초 보안 용어의 이해 [superdk].pdf](https://img.yumpu.com/17490839/1/190x143/-superdkpdf.jpg?quality=85)
![FreeBSD Shellcode 만들기 [graylynx].pdf](https://img.yumpu.com/17490825/1/184x260/freebsd-shellcode-graylynxpdf.jpg?quality=85)
Change language