[SESSION] 3. PE파일(2)

PE의 기본 구조

섹션 헤더

섹션 헤더: 각 섹션의 속성(property)을 정의한 것

• 섹션을 나눠둔 이유?
  • 프로그램의 안정성을 위해 
  • 따라서 각 섹션의 속성을 기술할 섹션 헤더가 필요해짐.
  • code, data, resource 마다 각자의 특성, 접근 관한 등을 다르게 설정할 필요가 있음.
  • 파일/메모리에서 시작 위치, 크기, 엑세스 권한 등 각 섹션의 정보와 속성, 접근 권한을 정리해서 섹션 헤더에 넣어둠.

---

• 섹션 헤더는 각 섹션별 IMAGE_SECTION_HEADER의 구조체 배열로 이루어짐
• Virtual Size: 메모리에서 섹션이 차지하는 크기
• Virtual Address: 메모리에서 섹션의 시작 주소(RVA)
• SizeOfRawData: 파일에서 섹션이 차지하는 크기
• PointerToRawData: 파일에서 섹션의 시작 위치
• Characteristics: 섹션의 속성(bit OR)

→ VirtualAddress와 PointerToRawData는 아무 값이 아니라 앞에 정의된 SectionAlignment와 FileAlignment에 맞게 결정.

일반적으로 VirtualSize와 SizeOfRawData는 서로 다른 값

(파일에서 섹션의 크기와 메모리에 로딩된 섹션의 크기는 다르기 때문에)

---

• NT HEADER의 Characterisitc 항목처럼 다 더해서 나타낸다.

---

• PE 스펙에는 Name을 지을 때 규칙이 없다.
• 데이터 섹션 이름을 .code로 해도 실행이 된다.
• 따라서 정보가 아니라 그냥 참고용으로 봐야 한다.

---

• 여기서 'IMAGE'는 파일에서 PE와 메모리에서 PE가 모양이 다르기 때문에, '메모리에 로딩된 PE의 상태'를 가리킨다.
• 그래서 메모리에 로딩된 PE가 시작하는 지점 = ImageBase
• 각 섹션의 메모리 로딩 이후 메모리 주소와 파일 오프셋을 잘 매칭시킬 수 있다면 도움이 됨!

---

RVA to RAW

• RVA to RAW: RVA가 속한 섹션을 찾아서 RAW를 위의 비례식으로 계산

• 먼저 해당 RAV값이 속한 섹션을 찾아야 한다.
  • RVA 5000 → 첫번째 텍스트 섹션에 속해있다. (ImageBase 01000000을 고려해서 VA를 구할 수 있음)
• 비례식에 따라 계산
  • RAW = 5000(RVA) - 1000(VirtualAddress, 메모리에서 헤더-텍스트 섹션까지의 거리)+400(PointerToRawData) = 4400
  • VirtualAddress가 1000인 이유는 Memory에서 첫 번째 Section이 01001000에서 시작하므로 1000이다. (ImageBase 값을 빼면) PointerToRawData 값이 400인 이유는 File에서 첫 번째 Section이 00000400에서 시작하기 때문이다.

---

섹션

• 섹션헤더들이 섹션 테이블에 정리되어 있고, 프로그램 실행 시 로더가 각 섹션을 메모리에 로드하고 속성을 설정할 때 필요한 정보들이 담겨있다.

---

 

• 프로그램마다 있는 섹션도 있고 없는 섹션도 있는데 .text 섹션은 모두 포함하고 있다.

---

IAT와 EAT

• IAT(Import Address Table): 프로그램이 어떤 라이브러리에서 어떤 함수를 사용하고 있는지를 기술한 테이블
• DLL(Dynamic Linked Library): 동적 연결 라이브러리의 준말
• 등장 배경
  • 16비트 DOS에서는 실행파일에 모든 라이브러리 함수의 바이너리 코드를 가지고 있었음.
  • 32비트 윈도우 환경을 제대로 지원하기 위해서는 기본적으로 매우 많은 라이브러리 함수(process, memory, window, message)가 사용됨.
  • 이것이 멀티태스킹을 지원하는 Windoes OS에서는 심각한 메모리/디스크 낭비가 됨.
  • 그래서 한번 로딩된 DLL의 코드, 리소스를 Memory mapping 기술로 여러 프로세스에서 공유해서 사용하는 DLL 개념 등장

→ 프로그램에 라이브러리를 포함시키지 않고, 별도의 파일(DLL)로 구성해 필요할 때 쓰는 DLL 개념이 등장함.

이러면 라이브러리가 업데이트되어도 해당 DLL 파일만 교체하면 되므로 매우 편하다.

---

DLL 로딩 방식

• Explicit Linking(명시적 링킹): 프로그램에서 사용되는 순간 로딩되고 사용이 끝나면 메모리에서 해제되는 방법
• Implicit Linking(묵시적 링킹): 프로그램 시작 시 로딩되어 프로그램 종료할 때 메모리에서 해제됨

→ IAT는 Implicit Linking에 대한 메커니즘을 저장한 형태

Explicit Linking이 쓸 때만 연결하니까 보안적으로 훨씬 안전하기 하지만, 준비해야 할 것이나 요건이 많아서 난이도가 높다.

---

1. CreateFileW를 호출함
2. 01001104의 값을 가져와서 호출함
3. .text 섹션의 메모리 영역에 위치한 01001104 주소에는 7C8107F0이 저장되어 있음
4. 7C8107F0 주소에는 notepad.exe의 프로세서 메모리에 로딩된 kernel32.dll의 CreateFileW 함수가 들어있음

Call 7C8107F0이라고 안하고 이런 귀찮은 형태를 취하는 이유:
재배치 문제도 있고 프로그램 실행 환경에 따라 kernel32.dll의 버전이 달라지고, CreateFileW의 주소도 달라지기 때문에 실제 주소가 저장될 위치(01001104)를 준비하고, 명령어에 변수로 이 주소를 넣어둠.
그리고 파일이 실행되는 순간, PE 로더가 01001104 위치에 CreateFileW의 위치를 입력해 주는 것.
cf) dll은 위치가 달라지고, exe는 imagebase가 있기 때문에 정확히 로딩된다.

 

---

IMAGE_IMPORT_DESCRIPTOR

• IMPORT_DATA_DESCRIPTOR 자료구조에는 실행파일이 참조하는 DLL(Dynamic Link Library), API와 관련된 정보들이 명시되어 있음.
• Import는 library에게 서비스(함수)를 제공받는 일이고, Export는 library 입장에서 다른 PE에게 서비스(함수)를 제공하는 일임
• 라이브러리 마다 이 구조체가 만들어지고, 이 라이브러리를 import 하는 프로그램의 import 테이블에 이 구조체가 속함.
• 보통 프로그램은 여러 개의 라이브러리를 import 하므로, 라이브러리 개수만큼 이 구조체가 배열에 들어있고, 이 배열의 마지막은 NULL 구조체로 끝남.
• 따라서 import 테이블의 전체 엔트리 개수는 import 한 DLL+1

---

모두 RVA 기준

---

임포트 함수 주소를 IAT에 입력

notepad.exe가 kernel32.dll을 임포트할 때 IMAGE_IMPORT_DESCRIPTOR의 생김새

<PE로더가 임포트 함수 주소를 IAT에 입력하는 기본적인 순서>

1. IID의 Name 멤버를 읽어서 라이브러리의 이름 문자열(kernel32.dll)을 얻음
2. 해당 라이브러리를 로딩함 → LoadLibrary("kernel32.dll")
3. IID의 OriginalFirstThunk 멤버를 읽어서 INT 주소를 얻음
4. INT에서 배열의 값을 읽어와서 해당 IMAGE_IMPORT_BY_NAME 주소(RVA)를 얻음
5. IMAGE_IMPORT_BY_NAME의 Hint(Original)나 Name 항목을 이용해서 해당 함수의 시작 주소를 얻음 → GetProcAddress("GetCurrentThreadld")
6. IID의 FirstThunk(IAT) 멤버를 읽어서 IAT 주소를 얻음
7. 해당 IAT 배열 값에 위에서 구한 함수 주소를 입력함
8. INT가 끝날 때까지 (NULL을 만날 때까지 위 과정을 반복함)

원래 INT와 IAT의 내용물은 완전히 똑같음.

PE로더가 IID의 OriginalFirstThunk를 타고 INT 주소를 알아내고, INT에서 IMAGE_IMPORT_BY_NAME의 주소를 알아오고, GetProcAddress(“GetCurrentThreadId”) 함수를 이용해서 함수의 실제 주소(로딩된 주소)를 알아옴.

그리고 그것을 IAT에 입력함. 그래서 INT를 가리키는 멤버는 originalfirstthunk인거고, IAT를 가리키는 멤버는 그냥 firstthunk 멤버인 것.

---

 

• lMAGE_OPTIONAL_HEADER32.DataDirectory[1].Virtual Address값이 실제 lMAGE_IMPORT _DESCRIPTOR의 시작주소
• IMAGE_IMPORT_DESCRIPTOR 구조체 배열을 다른 말로 IMPORT directory table이라고도 함.
• 이 구조체 배열은 PE헤더가 아니라 바디에 위치함. 지난번에 배운 optional header의 datadirectory 중 import table의 값이 여기서 IMAGE_IMPORT_DESCRIPTOR를 가리키고 있는 것!

 

 

 

https://jamielim.tistory.com/54

[Reversing] IAT와 EAT 로딩 과정