2010. 4. 27. 18:52, 유용한 지식 자료들/악성코드 기법
Offset 108 번째(Address of Entry Point)의 Data 값
빼기
Offset 1e4 번째(RVA)의 Data 값
더하기
Offset 1ec 번째(PointerToRawData)의 Data 값
이렇게 계산을 하면 RVA로 나오는 EP값이 아닌 파일 Offset의 주소값을 알 수 있다.
원리는 책 "시스템 실행파일의 구조와 원리"를 참고하면 이해하는 데 도움이 될 것이다.
악성코드 로더(loader)계열이 시스템 파일을 변조할 때 EP를 수정하기 위한 한 방법이다.
'유용한 지식 자료들 > 악성코드 기법' 카테고리의 다른 글
| keylogging 기법 (0) | 2011.05.24 |
|---|---|
| 악성코드 기법 (2) | 2011.04.27 |
| 고급 사용자를 위한 Internet Explorer 보안 영역 레지스트리 항목 (0) | 2010.11.15 |
| Bat 파일로 쓰인 명령어 (0) | 2010.05.07 |
| 악성코드가 싫어하는 프로그램들 (0) | 2010.04.29 |
Comments, Trackbacks
