메모장 썸네일형 리스트형 PE파일 분석-메모장 우리는 평소 메모장을 많이 씁니다. 그래서 PEview를 통해 메모장을 분석해봤습니다. -PEview에서 메모장을 열었습니다. :4D 5A가 먼저 적힘을 보아 little Endian을 통해, 시작점이 5A4D임을 확인할 수 있었습니다. :Value에서 ‘}’을 통해 표시한 부분에서 “This program cannot be run in Dos mode”라는 것을 보아 이 프로그램은 DOS 모드에서 실행될 수 없는 것을 볼 수 있습니다. -IMAGE_DOS_HEADER :Value에서 IMAGE_DOS_SIGNAATURE MZ라고 적힌 것을 보아, exe파일임을 확인할 수 있습니다. :e_magic필드에서 4D 5A로 PE파일 구조임을 확인할 수 있습니다. :e_lfanew필드-가리키는 0xF0으로 가면.. 더보기 이전 1 다음
