1. 프로세스 메모리 구조

섹션

윈도우의 PE 파일은 PE 헤더와 1개 이상의 섹션으로 구성되어 있다.

• **PE 파일(Portable Executable)**이란 윈도우가 실행할 수 있게 정해진 규격대로 저장된 파일이다.(.exe, .dll 같은 실행 파일)
• 섹션은 한마디로 비슷한 성격의 데이터/코드를 한 구역에 묶어둔 '칸(구역)'이다.
• .text 섹션: 프로그램의 실행 코드(명령어)가 들어 있다.
• .data 섹션: 실행 중에 참조하는 데이터(변수 등)가 들어 있다.
• PE 헤더: 설명서/목차와 같은 역할을 한다. 이 실행파일이 어떤 섹션들로 구성되어 있고, 각 섹션이 어디에 있고, 크기가 얼마고, 권한이 뭔지를 적어둔 부분이다.

섹션과 관련된 데이터 중, 중요한 것은 다음과 같다.

1. 섹션의 이름(.text, .data, .rdata)

2. 섹션의 크기(그 섹션이 파일에서/메모리에서 차지하는 크기)

3. 섹션이 로드될 주소의 오프셋(이 섹션을 메모리에 올릴 때 어디쯤에 배치할지에 대한 정보)

4. 섹션의 속성과 권한(읽기/쓰기/실행 같은 권한)

윈도우가 exe를 실행하면

1. PE 헤더를 읽고

2. 각 섹션을 가상 메모리(프로세스 주소공간) 안에 적절히 배치(매핑)하고

3. 섹션 권한도 설정한 다음

4. .text의 시작 지점부터 실행을 시작한다.

가장 자주 보이는 이 섹션 3개만 기억하면 된다.

1. .text: 코드(실행되는 명령어)