Total Commander Korean Forum :: XPG Community 사이트에 들렀다가 exe 파일의 압축형식을 알 수 있는 플러그인이 있나요?라는 질문을 보게 되었다. 그에 대한 답은 일단 실행파일의 압축 형식만을 보여주는 플러그인은 존재하지 않는다. 다만 몇 가지 플러그인을 이용하여 실행파일의 압축 형식을 알아낼 수는 있다.

FileInfo 플러그인

FileInfo 플러그인은 토탈커맨더의 리스터 플러그인으로서, MZ, NE, LE, LX 및 PE 포맷(프로그램, DLL 등)의 버전 정보, 헤더 정보, 심볼(Symbol)을 보여주며, LIB, OBJ, EXP 파일을 덤프(Dump)해 준다. 그밖에 PE 포맷에서 DLL 의존에 대한 정보도 보여준다.

FileInfo 플러그인을 이용하여 실행 파일을 불러오면 아래와 같은 화면을 볼 수 있다.

압축되지 않은 실행 파일의 헤더 정보

압축되지 않은 실행 파일의 헤더 정보

FileInfo 플러그인은 6개의 탭으로 이루어져 있다. 맨 왼쪽에서부터 File Properties, Image File Header, Dll Dependency, Imports / Exports, Options, About 의 여섯 메뉴이다. 그것을 해석하면, 파일 정보, 파일 헤더 정보, DLL 의존성, 임포트/익스포트(내보내기/가져오기), 선택사항, 프로그램 정보이다. 이때 주목할 부분은 Image File Header이다.

UPX 프로그램으로 압축한 실행 파일

UPX 프로그램으로 압축한 실행 파일

Image File Header 탭에서 몇 가지 내용을 찾으면, 현재 보고 있는 실행 파일이 압축된 파일인지를 쉬 알 수 있다. 일단 Possible Packer/Encryptor 라는 부분이 있는지를 찾아야 한다. 그 부분이 없다면 일단 압축된 파일이 아니다. 그러한 글귀가 있다면 압축파일로 보면 된다. 이때 Possible Packer/Encryptor 항목에 나타난 내용이 압축 형식을 가리킨다. 위 그림에서는 UPX 라는 압축 형식을 사용했음을 알려주고 있다.

또한 possible Encrypted or Compress Executable 라는 글귀는 "암호화되거나, 실행 파일 압축이 되었을 수 있습니다."라는 의미를 가진다.

PE Viewer 플러그인

PE Viewer 플러그인은 토탈커맨더의 리스터 플러그인으로서, PE 포맷을 가진 EXE, DLL, OCX 등 파일 정보를 보여준다. 이 PE Viewer 플러그인의 화면 구성은 3개 부분으로 나뉘어 있다. 아래 그림에서 나타나 있듯이 맨 왼쪽에서부터 Import/Export, Headers/Sections, Other 부분이며, 이때 살펴볼 부분은 Headers/Sections 부분이다.

압축 및 변형하지 않은 실행 파일의 헤더 정보

압축 및 변형하지 않은 실행 파일의 헤더 정보

압축 또는 변형한 실행파일의 헤더 정보

압축 또는 변형한 실행파일의 헤더 정보

다만 이 정보는 반드시 압축되었음을 뜻하지는 않는다. 그저 헤더 정보가 변형되었음을 뜻할 수도 있다.
이때 좀 더 확실히 하려면 화면에 나타난 내용, 예컨대 UPX, UPX0, UPX1 등을 검색어로 삼아 구글링을 해보면 됩니다.

관련 문서

외부 문서

이 글은 스프링노트에서 작성되었습니다.


Posted by koc/SALM 트랙백 0 : 댓글 0

티스토리 툴바