Ani Gil의 PE구조 살피기 IMAGE_DOS_HEADR EXE나 DLL을 Win Hex, Hewin 등으로 열어서 봤을 때 가장 맨 처음 부분에 해당하는 버퍼이고 무수히 많은 멤버가 존재하고 파일의 맨 처음부분에 해당한다. 또한 첫 번째 필드인 e_magic 과 마지막 e_lfanew 만 여겨 보면 된다. e_magic : 현재 파일이 PE파일인지 체크하는 용도이다. MZ (5A4D)의 값을 가지고 있고 여기서 MZ는 PE를 개발한 Mark Zbikowski의 약어다. e_lfanew : IMAGE_NT_HEADER의 구조체 위치를 알아내는데 사용되는 값 이다. 실질적인 PE의 오프셋이 어딘지 이 필드를 통해 지정하게 됨. PIMAGE_NT_HEADERS 사용을 위한 준비작업이다. IMAGE_NT_..