WindowsOSの実行ファイル(PE)には、MZヘッダと名付けられたDOSMZ実行形式ヘッダが一部を形成しています。もともとDOSの実行ファイルフォーマットだったこの部分は、現今のWindows実行ファイルフォーマットであるPEに保管されています。PEフォーマットは、初めにDOS用のヘッダとコードを置き、標準的なWindowsOSがDOS実行ファイルを起動できるように設計されています。マルウェアを解析し改造するリバースエンジニアリングとメモリ解析においては、PEファイルに含まれるMZヘッダを見つけることで、実行ファイルを認識する工程を進めます。’
-10-1.jpg)
