[PEfile Module] 사용

[PEFile Module]

PEFile Module은 프로그램의 PE Header를 볼 수 있게 해주는 모듈이다.

https://pypi.python.org/pypi/pefile

에서 다운로드 할 수 있다.

pip로도 쉽게 다운로드 할 수 있다. 나는 다운로드 하려니 future모듈이 없다고 해서 future 모듈부터 다운로드 하였다.

이후 PEfile을 pip install로 다운로드하였다.

설치 완류 후에 pefile을 import 한 뒤 pe = pefile(PE('경로') 를 적어주면 된다.

notepad.exe를 분석할 것이라고 알려주는 작업이다.

이제 헤더정보를 출력할 수 있다.

명령어는 pe(pefile.PE('')를 입력한 변수명).구조체.멤버 이다.

pe.OPTIONAL_HEADER.AddressOfEntryPoint 

명령으로 엔트리 포인트 주소를 출력해보았다.

pe.OPTIONAL_HEADER.Magic 명령으로 매직값을 알아보았다.

pe.FILE_HEADER.NumberOfSections 명령으로 섹션(.text, .rsrc, .data 등) 의 개수를 알아볼 수 있다.

 

섹션이 무엇이 있는지 출력해보았다.

각 세션의 Virtual Address를 알아내보자

SizeOfRawData 알아보기

이런식으로 응용하면 PeViewer를 간단히 만들 수 있을 것 같다.