アンラボ・ホームページ[07年5月セキュリティコラム] 悪性コード分析担当者が見たPE構造 (1) 悪性コード分析担当者が見たPE構造 1. 悪性コードとPE (Portable Executable) ファイルとの遭遇 PEファイルとは、プラットフォームに関係なくWin32 OSのシステムであれば実行可能なファイルのことを意味する。PEファイル(*.EXE、*.DLL) を実行するためにはOSに実行ファイルの情報を提供しなければならない。例を挙げると、実行ファイルの機械語コードの位置、アイコンや画像ファイルなどの位置、ファイルが実行できるプラットフォームの種類、OSがファイルを実行する際のはじめのスタートコードの位置などである。このような様々な情報が保存されているところがPEファイルのはじめの部分にあたるPEヘッダー構造体だ。 悪性コードを分析すると、PEヘッダー構造体に興味深い情報が多く含まれている
