0x00.PE File Format

0x00.PE File Format

 

 

 

PE파일은 원도우에서 사용되는 실행파일 형식인데, UNIX의 COFF(Common Object File FOrmat)을 기반으로 만들어졌다. 보통 PE파일은 32비트를 뜻하며, 요즘 사용되는 64비트는 PE+, PE32+로 다르게 불리운다.

 

PE파일에는 EXE와 같은 실행계열, SYS와 같은 드라이버 계열, DLL과 같은 라이브러리 계열 그리고 오브젝트 계열인 OBJ등이 있다. 결국 실행 가능한 모든 파일이 PE파일에 속한다고 보면 된다.

 

 

윈도우의 메모장의 PE구조는 위와 같다.

 

DOS header ~ Section header까지를 PE헤더, 그 밑의 섹션들을 PE바디라고 한다.

파일은 보통 코드, 데이터, 리소스로 섹션이 나뉘어지는데 그 순서는 위와 같이 text, data, rsrc가 된다.

 

헤더들은 각 섹션들에 대한 크기, 위치, 속성 등의 값이 정의되어 있고 각 부분의 끝에는 NULL 영역이 배치되는데, 이는 PE파일의 모든 섹션은 최소 기본 단위의 배수에 해당하는 위치여야 하기 때문에 빈 공간이 발생할 시 NULL로 채워버리는 것이다.