반응형
[발췌:Windows 시스템 실행파일의 구조와 원리 중]
비주얼 스튜디오 제공 DumpBin.exe
Viual Studio.NET 2003 명령 프롬프트 > BumpBin
- COFF 형태의 이전 PE 포맷을 비롯한 모든 실행 파일을 비롯하여 임포트 라이브러리 파일(.lib), 익스포트 라이브러리 파일(.exp), 그리고 .obj 등의 가능한 모든 형태의 PE 포맷을 다 지원함.
DumpBin.exe 옵션 들
옵션 | 설명 |
/ALL | PE 이미지를 위 리스트에 기술된 모든 옵션을 통해서 상세히 그 정보를 보여준다. |
/CLRHEADER | 해당 PE가 관리 PE(.NET 기반 PE)인 경우 CLR 헤더의 내용을 출력한다. |
/DISASM[:{BYTES|NOBYTES}] | 텍스트 섹션의 코드 덤프를 역어셈블링해서 어셈블리어로 보여준다. |
/EXPORTS | DLL일 경우 이 DLL이 익스포트한 함수나 변수의 정보를 출력한다. |
/HEADERS | PE 파일의 헤더 정보를 출력한다. |
/IMPORTS[:filename] | 임포트한 함수들이나 변수에 대한 정보를 출력한다. |
/RELOCATIONS | 기준 재배치 섹션을 통해 재배치 정보를 출력한다. |
/SECTION:name | name 속성에 지정된 이름을 가진 섹션의 정보를 출력한다. |
Smidgeonsoft 제공 PEBrowse Professional Interactive(freeware)
[관련사이트:smidgeonsoft]
- GUI를 가지며 비주얼하게 PE의 내용을 볼 수 있는 것이 장점.
해당 PE를 로드시켜 디버깅도 가능하기 때문에 해당 PE가 실제 가상 주소 공간에 매핑된 상태를 눈으로 직접 확인할 수 있는 유용한 툴.
참고 : PE 이미지를 대상으로 하는 라이브러리인 ImageHelp 라이브러리가 있다
디폴트로 제공되는 이 라이브러리는 PE 파일을 대상으로 작업 가능한 많은 기능들을 제공한다.
자세한 설명은 MSDN 을 참고.
[출처] PE 분석을 위한 유틸리티|작성자 쑤카이