Reversing/PE File Format2012. 10. 31. 21:31

PE File Format 0x04



0x01. Section Header


Windows에서 제공하는 WinNT.h의 _IMAGE_SECTION_HEADER 구조체입니다.


비슷한 속성의 자료들끼리 서로 모아놓기 위한 공간이 section입니다.

각 section의 속성을 가지고 있는 것이 section header입니다.

중요한 부분만 하나씩 살펴보도록 하겠습니다.


Name /* Section의 이름을 가지고 있습니다.

  Name은 BYTE 배열이며 배열의 크기는 8로 고정되어 있습니다.

 

  Name에 대해서는 정해진 규칙이 없습니다.

  그러므로 어떠한 값이든 넣을 수 있으며 null로 비워놔도 괜찮습니다.

   해당 파일에서는 5개의 section name을 확인할 수 있습니다. */

VirtualSize // Memory에서 section의 크기를 나타냅니다.

VirtualAddress /* Memory에서 section의 시작 주소를 나타냅니다.

     IMAGE_OPTIONAL_HEADER32의 SectionAlignment에 맞게 결정됩니다. */

SizeOfRawData // 파일에서 section의 크기를 나타냅니다.

PointerToRawData /* 파일에서 section의 시작 위치를 나타냅니다.

     IMAGE_OPTIONAL_HEADER32의 FileAlignment에 맞게 결정됩니다. */

Characteristics /* Section의 속성을 나타냅니다.

각 값들이 bit-OR 형식으로 조합됩니다.

Windows에서 제공하는 WinNT.h의 characteristics 값들입니다. */


'Reversing > PE File Format' 카테고리의 다른 글

PE File Format 0x06  (0) 2012.11.11
PE File Format 0x05  (0) 2012.11.07
PE File Format 0x03  (0) 2012.10.29
PE File Format 0x02  (0) 2012.10.29
PE File Format 0x01  (1) 2012.10.28
Posted by slimV