PE dosya başlıkları ve bölümleri

Zararlı yazılım analizi yaparken, PE (Portable Executable) dosya başlıkları Imports olarak adlandırılan içe aktarılan işlevlere göre çok daha fazla bilgiyi sağlayabilirler. PE dosya biçimi bir başlık ve ardından bir dizi bölüm içerir.

Dosya başlığı (header) dosyanın kendisiyle ilgili meta veriler içerir. Başlığın ardından dosyanın her biri yararlı bilgiler içeren gerçek bölümler bulunur.

  • .text
  • .rdata
    • .idata
    • .edata
  • .data
  • .pdata
  • .rsrc
  • .reloc

.text

Çalıştırılabilir kodlar bu bölümde bulunur. Diğer tüm bölümlerde veri ve programda kullanılan destekleyici bilgiler yer alırken bu bölümde genelde sadece çalıştırılabilir kodlar yer alır.

.rdata

Bu bölümde import ve export bilgileri yer alır. Ayrıca program tarafından kullanılan salt okunur veriler de bu bölümde tutulur. Bazen .idata ve .edata bölümlerini de içerir.

.data

Bu bölümde programın herhangi bir yerde kullanacağı global veriler tutulur. Yerel veriler bu bölümde ya da PE dosyasının herhangi bir yerinde tutulmazlar.

.pdata

Sadece 64-bit çalıştırılabilir programlarda yer alır ve hata işleme (exception-handling) bilgilerini depolar.

.rsrc

Çalıştırılabilir programın kullandığı resimler, simgeler, karakterler (strings) ve menüler bu bölümde yer alır. Kısacası programın ihtiyaç duyduğu kaynakları depolar.

.reloc

Kütüphane dosyalarının yerlerini değiştirmeyle ilgili bilgilerin tutulduğu bölümdür.

Bir cevap yazın