Etc
-
EATEtc 2017. 7. 3. 02:39
(2014년에 네이버 블로그에서 작성했던 글을 티스토리로 옮기며 이관했습니다) EAT(Export Address Table)는 라이브러리에서 함수 시작 주소를 구할 때 사용됩니다. 라이브러리 외 PE 파일은 Export 할 함수가 없으니 EAT를 가리키는 주소가 NULL로 셋팅되어 있습니다. EAT 정보는 IMAGE_EXPORT_DIRECTORY 라는 구조체에서 확인할 수 있습니다. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; DWORD MajorVersion; DWORD MinorVersion; DWORD Name; DWORD Base; ..
-
IATEtc 2017. 6. 13. 02:09
(2014년에 네이버 블로그에서 작성했던 글을 티스토리로 옮기며 이관했습니다) IAT는 Import Address Table의 약자로 프로그램에서 import한 라이브러리에서 사용하는 함수명, 함수 시작 주소가 저장된 테이블입니다. IAT는 IMAGE_IMPORT_DESCRIPTOR 구조체에서 RVA 형태로 명시되고 있는데요. 이 구조체는 그 외에도 INT, import한 라이브러리의 이름 등의 값을 저장합니다. 여기서 INT란 Import Name Table의 약자로, import 한 라이브러리의 함수 이름들이 배열 형태로 저장되어 있습니다. 그럼 이제 IMAGE_IMPORT_DESCRIPTOR 구조체에서 필요한 부분만 살펴보도록 하겠습니다. 1 2 3 4 5 6 7 8 9 10 typedef stru..