Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 31 |
Tags
- x32dbg
- Python
- ImageSwitching
- DebugBlocker
- 분석 보고서
- 안티디버깅
- 디버깅
- JIT
- 서비스디버깅
- 리버싱핵심원리
- RedLine Stealer
- Exe2Aut
- CP949
- Visual Studio
- Static안티디버깅
- IL코드
- dotPeek
- Dynamic안티디버깅
- 리버싱
- hxd
- PEImage
- UTF-32
- UTF-16
- OllyDbg
- 서비스프로세스
- .net
- PEImageSwitching
- Self-Creation
- Advanced안티디버깅
- CodeEngn
Archives
- Today
- Total
목록ImageSwitching (1)
-榮-
디버깅 실습3 - PE Image Switching 개념 및 동작 원리
1. PE Image ‘PE Image’(혹은 Process Image나 Image라고 함)란 간단히 말해 ‘PE 파일이 프로세스 메모리에 매핑(mapping)된 모습’이라고 할 수 있다. PE 파일(notepad.exe)을 프로세스로 실행시키면 그 프로세스의 가상 메모리는 아래 그림과 같은 형태가 된다. 즉, OS는 프로세스를 위한 가상 메모리를 생성하고, USER 메모리 영역에 notepad.exe 파일을 매핑시킨다. 그리고 notepad.exe에 사용되는 Import DLL 파일들(kernel32.dll, user32.dll, gui32.dll 등)을 차례대로 매핑시킨다. 이때, 프로세스의 USER 메모리에 매핑된 Notepad.exe 영역을 (notepad.exe 파일에 대한) PE Image라고..
리버싱 핵심원리
2024. 1. 31. 20:15