Exeinfo PE
< 그림 1 > Exeinfo PE 의 실행 모습 ( 좌측 실행 직후, 우측 실행 후 파일 스캔한 모습 )
- 해당 파일이 어떤 언어로 컴파일이 되었는지, 패킹 여부와 패킹이 되었다면 어떤 툴로 패킹을 하였는지 확인이 가능한 툴
Exeinfo 사용법
- 좌측 그림에서 우측 상단에 체크된 파일 모양 박스를 클릭해 파일을 불러 올 수 있다.
- 파일을 스캔하게 되면 우측과 같은 모습을 확인할 수 있음
- 상단부터 체크된 곳은 알아둬야 할 것 으로 보여집니다.
- 상단에 스캔한 파일의 이름
- Image is 32 bit executable 의 경우 32 bit 로 구동이 된다 라는 것을 알려주는 것
- UPX 0.89 - 3.xx 의 경우 ' UPX ' 라는 패킹 툴로 패킹이 된 것을 확인 할 수 있다.
- unpack "upx.exe -d" from http:// ........... 의 경우 해당 UPX 로 패킹처리 된 것을 언패킹 하기 위한 정보가 담겨져 있다.
< 그림 2 > Exeinfo PE 실행 후 패킹이 되지 않은 파일 스캔한 결과
- 위 사진은 패킹이 되지 않은 파일을 스캔한 결과의 모습을 보여주는 그림입니다.
- 패킹이 되지 않았을 경우에는 해당 파일이 어떤 컴파일러로 제작이 되었는지 확인이 가능한 것을 볼 수 있습니다.
PEiD
< 그림 3 > PEiD 의 실행 모습 < 좌측 실행 직후 , 우측 파일을 스캔한 결과 >
- Exeinfo PE 와 마찬가지로 해당 파일의 패킹 여부와 어떤 툴로 패킹을 하였는지 확인할 수 있는 툴
- 프로그램 실행 후 우측 상단에 ... 박스를 눌러 스캔하고 싶은 파일을 불러옵니다.
- 파일을 스캔하게 될 경우 우측 사진의 모습을 확인할 수 있습니다.
- 스캔한 파일의 경로
- 패킹이 되지 않았을 경우에는 아래 Microsoft Visual C++ 6.0 과 같이 컴파일한 컴파일러의 정보를 확인할 수 있음
- 패킹이 되었을 경우에는 Exeinfo PE 와 마찬가지로 패킹 툴의 정보가 하단 체크된 박스에 나오게 됩니다.
