글
PE 파일 분석 IAT & Pre Binding
리버싱
2019. 11. 11. 14:09
1. IAT
- Import Address Table
- DLL 파일이 메모리 상에 로드되는 주소값을 갖고 있는 테이블이며, 암시적 링킹에서 사용한다
- 'calc(ASLR X).exe'를 올리디버거로 오픈하여 '0x01044129' 내용을 확인한다
- 메모리 덤프 창에서 '0X01001000'
- 18 04 CB 76 -> 0x76CB0418
- 'SHELL32.dll' 의 'SHGetSpecialFolderPathW' 함수를 호출할 때 , 직접 호출하지 않고 PE 로더가 프로그램 실행시
'0x01001000' 주소에 설정한 해당 함수 주소 값(0x76CB0418)을 갖고와서 호출함
'리버싱' 카테고리의 다른 글
| 어셈블리(레지스터 이해) (0) | 2019.11.13 |
|---|---|
| 화면 잠금 프로그램 'Lock Workstation' 제작 (0) | 2019.11.13 |
| PE 파일 분석 ( PE 바디 - 섹션 ) (0) | 2019.11.11 |
| PE 파일 분석 ( RVA to RAW ) (0) | 2019.11.11 |
| PE 파일 분석 (0) | 2019.11.07 |
