실행 이미지 덤프 툴

Hack/Reversing 2012. 8. 3. 21:21

1. dumpbin

- 본인의 컴퓨터에 Microsoft visual studio가 설치되어 있어야 합니다. Visual Studio 6.0이 설치되어있다면 자동으로 PATH가 설정되어 있으므로 cmd 창에 dumpbin을 입력하면 Option 목록이 나옵니다

- dumpbin /exports user32.dll을 입력한 결과이다 (dll파일을 바이너리 분석하는 명령어)

그외 옵션들

/ALL : 코드의 offset, hex, string 값을 모두 표시한다

/ARCHIVEMEMBERS : 해당 파일에 대한 최소 정보를 표시한다

/DEPENDENTS : 사용하는 dll 파일의 이름을 보여준다

/DIRECTIVES : 컴파일러가 생성한 이미지의 .DRECTIVE 섹션을 덤프한다

/DISASM : 파일을 disassemble 한다

/EXPORTS : 실행 파일 또는 dll에서 내보낸 모든 함수를 표시한다

/HEADERS : 파일 헤더와 각 섹션의 헤더를 표시한다

/IMPORTS : 사용한 함수들을 표시한다

/OUT : 출력할 FILENAME을 지정할 때 사용한다

/SECTION : 섹션 정보를 표시한다

참고사이트 : 굉장히 친절하게 설명해 주었다

2. PE Explorer

- 리소스해커와 비슷한 기능을 가진다. 또한 디스어셈블이 가능하며, 델파이코드를 지원한다. 깔끔한 인터페이스가 특징이다

- tools -> disassembler 화면

아래의 Strings, View1, View2... 를 활용하여 편리하게 View할 수 있다

- 아이콘과 스트링을 편집할 수 있다

Jaden's Note Jaden's Note