dll파일을 exe 파일로 바꿔서 분석

http://ezbeat.tistory.com/229

1. pe 구조에서 IMAGE_NT_HEADERS -> IMAGE_FILE_HEADER-> characteristics 부분을 수정시켜주어야 합니다. 해당 부분은 2byte로 이루어져 있는데 여기서 파일이 dll로 인식되게 할 것인지 exe 로 인식되게 할 것인지를 결정짓게 됩니다. 보통 dll인 경우 해당 값이 0x2102이고 exe인 경우 0x010F 값을 지니게 됩니다.

 

 2. 1번을 수행했다면 해당파일의 확장자를 DLL에서 EXE로 바꿔줍니다.

 

 3. DLL MAIN을 보시면 fdwReason 값이 DLL_PROCESS_ATTACH(1) 일 경우 동작을 하게 됩니다. 그렇기 때문에 강제적으로 fdwReason값을 무조건 1이 되도록 설정해버리면 됩니다.

 

위 3가지 과정이 전부입니다.