Exeinfo PE

Exeinfo PE.exe

- 실행 파일(PE) 분석 도구로, 실행 파일 패킹 여부, 어떤 언어로 컴파일러 빌드, Entry Point 등 다양한 정보를 제공하는 정적 분석 도구 

해당 사진 순서대로 

 

1. 분석 중인 파일 이름

- 24d004a1.exe → 사용자가 넣은 파일

 

2. Entry Point로 프로그램이 실행될 때 처음 실행되는 시작 주소, 정확히는 메모리에 로드될 때 코드가 실행되는 가상 주소(RVA)

-  00009A 16 → 뒤에 16이 띄워진 이유를 모르겠다. CFF Explor에서 확인을 해봤는데 그냥 값인거 같다. 

 

3. 실행 파일 내에서 엔트리 포인트가 위치한 실제 파일 내 오프셋, 정확히는 디스크 내에 저장되는 위치

- 00009A 16

# Entry Point vs File Offset 
# Entry Point 
- 메모리 기준 주소 
# File Offset 
- 디스크 기준 주소

 

4. 링커 정보로 실행 파일을 생성한 링커 

- 6.00 → Microsoft Visual C++ 6.00 사용되어 빌드

 

5. 파일 크기(16진수)

- 0038D00h → 0x 00 38 D0 0  → 232,704(byte)

 

6. 프로그램 코드가 실행되는 섹션 

- .text 섹션에서 실행

7. 실행 파일의 엔트리 포인트에서 시작하는 최초의 바이트 코드(명령어)

- 55 8B EC 6A FF 

55 → push ebp 

8B EC → mov ebp, esp 

6A FF push -1

 

8. 실행 파일이 실행될 환경 

- Windows GUI 

 

9. 실행 파일이 추가적인 데이터를 포함하고 있는지 여부

- NO 00000000 → 오버레이 데이터 없음 

cf. Overlay란 실행 파일과 관계없는 추가적 데이터를 포함하는 영역

 

10. 패커 및 압축 정보 

 

11. 추가 분석 정보 

- .rsrc 섹션이 크다?? 아직 무슨말인지 모르겠다. 

- 9 .zip Archive → 내부의 9개 zip 파일 포함

- 1* EXE PE found → 실행 파일 내부에서 추가적인 EXE 실행 파일이 존재

- Not packed → UPX 같은 실행 파일 패커로 압축 안 함