PE32+
NT_HEADER64 구조체 사용
NT_HEADER64 구조체는
OPTIONAL_HEADER64
NT_HEADER32 구조체는
OPTIONAL_HEADER32
FILE_HEADER구조체의 Machine 값이 변경 됨.(PE32에서는 014C, PE32+에서는 8664)
OPTIONAL_HEADER 구조체 변경
Magic 넘버 010B -> 020B
BaseOfData 제거됨.
ImageBase 자료형이 8바이트로 변경됨.
스택&힙 변경
자료형 크기가 8바이트로 변경됨.
THUNK_DATA 구조체 크기가 4->8바이트로 변경
INT,IAT 값따라가면 4바이트 배열이었는데, 8바이트 배열로 바뀜.(포인터 크기가 8바이트여서)
TLS_DIRECTORY
VA 값을 가지는 주소들이 8바이트로 변경됨.
WinDbg
https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/
Install WinDbg - Windows drivers
Start here for an overview on the Windows debugger and installing WinDbg.
learn.microsoft.com
MS에서 제공하는 디버거.
주로 커널 디버깅에 사용됨.
CUI 동작