1. PEview란?
Window 용 실행 파일인 PE( Portable Executable )의 구조를 분석할 수 있는 도구이며, 주로 파일시그니처, 언패킹 확인, 타임스탬프 정보 확인등을 파악할때 활용한다.
2. PEview 활용 예시
여러 섹션들 중에서 가장 주요하게 살펴볼 섹션은 IMAGE_NT_HEADERS이다.
2.1 파일 시그니처 확인
IMAGE_NT_HEADERS의 Signature를 통해서 해당 파일이 PE 파일임을 확인할 수 있다.
2.2 언패킹 확인
Virtual Size와 Size of Raw Data값이 같다는것을 통해 언패킹된 파일임을 확인할 수 있다.
패킹된 파일은 Virtual Size와 Size of Raw Data값의 차이가 크다는 것을 확인할 수 있다. (패킹된 파일은 두 값의 차이가 500이상 차이 난다)
패킹된 파일은 IMPORT Address Table에서 LoadLibraryA라는 부분을 확인할 수 있다는 특징이 있다. 하지만 LoadLibraryA가 있다고 패킹됐다고 확신할 수 없다.(헷갈리도록 일부로 만들 수도 있음) 따라서 여러 정보를 통해서 언패킹 여부를 파악해야 한다.
2.3 타임스탬프(파일생성시간) 확인
IMAGE_NT_HEADERS의 IMAGE_FILE_HEADER를 통해서 해당 파일이 2015/10/09에 파일이 생성되었음을 확인할 수 있다.(해당 정보는 조작될 수 있다.)