Reversing) PE(Portable Executable) File Format

PE File Format ? : Portable Executable File Format

 

PE 파일은 Windows 운영체제에서 사용 되는 실행 파일 형식이다.

Unix 는 COFF 를 기반으로 만들어짐

 

Portable 이라는 단어는 이식성을 좋게 하기 위해서 만들어 진 것인데, 현실은 Windows 에서만 쓰이고 있다.

 

32비트 형태의 실행파일을 의미하며 , PE32 라고 불리기도 한다.

64비트는 PE+,PE32+ 라고 불린다 (PE64 가 아니다)

 

 

1. PE File Format

종류	주요 확장자	종류	주요 확장자
실행계열	EXE, SCR	드라이버 계열	SYS, VXD
라이브러리 계열	DLL,OCX,CPL,DRV	오브젝트 파일 계열	OBJ

 

PE 헤더 부분에 파일이 실행되기 위한 모든 정보들이 적혀있다

메모리에 적재되고, 어디서부터 실행되어야하는지, 실행에 필요한 라이브러리들은 어떤것들이 있고, 필요한 stack or heap 의 크기는 얼마인지 등등

 

2.기본 구조

 notepad.exe 를 실행하는 가정을 해, 파일이 메모리에 적재되는 모습을 살펴본다.

notepad.exe 가 메모리에 적재되는 모습이다.

메모리의 주소는 절대 주소( VA ) 로 표현한다 

 

NULL padding 이 존재하는 이유는 뭘까 ?

처리 효율을 높이기 위해서 최서 기본 단위의 배수에 해당하는 위치여야 한다.

(서로의 자원에 간섭하는 것을 최소화 하기 위해서 라는 말을 들은 적이 있다.)

 

 

 

2.1 VA & RVA

VA (Virtual Address) 는 프로세스 가상 메모리의 절대 주소를 말하며 , RVA(Relative Vertual Address) 와의 관계는 다음과 같다.

 

VA=RVA+ ImageBase

 

PE 헤더 내의 정보는 RVA 로 되어 있는 것이 많은데 그 이유는 , PE 파일 (주로 DLL )이 프로세스 가상 메모리의 특정 위치에 로딩 되는 순간 이미 그 위치에 다른 PE 파일이 로딩 되어 있을 수 있다. 그럴 때 재 배치 과정을 통해서 비어있는 다른 위치에 로딩 되어야 하는데 , 만약 PE 헤더들이 VA(Virtual Address , 절대주소)로 되어 있다면 정상적인 액세스가 이루어지지 않기 때문이다. 따라서 정보를 RVA 로 해두면 재배치가 발생하여도 기준위치에대한 상대주소가 변하지 않기 때문에 문제없이 정보에 엑세스 할 수 있다.

 

그림으로 설명 된 포스트를 퍼왔다.

 

---

[ 재배치(Relocation) 상황 ]

예를 들기위해 최대한 쉽게 네이밍을 했으며 네이밍과 주소는 실제와 전혀 상관없습니다 개념만 집고가세요

game.dll가 00000000이라는 위치에 로딩되는순간 notepad.dll이 먼저 로딩이 되어버렸습니다

하나의 위치에 2개의 dll파일이 올라갈 수 없기 때문에 이때 재배치(Relocation)을 해줘야 하는 상황이 생기게 됩니다

이때 PE헤더 정보들이 VA(절대주소)로 되어있다면 정상적인 엑세스가 이루어 지지 않기 때문에

RVA(상대주소)로 해서 재배치가 발생해도 기준에 대한 상대주소는 변하지 않기 때문에 문제없이 원하는 정보에 엑세스 할 수 있게 됩니다.

 

절대주소? 상대주소?

많은분들이 헷갈려 하시는 절대주소와 상대주소를 개념잡고 가겠습니다

절대주소: 메모리의 위치를 식별하는 메모리 고유주소

  즉. 기억장치교유의 주소로서 기억장소를 직접 숫자로 지정합니다

 

상대주소: 고유주소가 아니며 특정영역에 상대적인 주소를 지정합니다

 

[ 물리주소와 가상주소 ]

빨간색: 사용중

파란,초록: 사용안함

현재 0x1~0x3, 0x7이 사용중입니다 중간중간 비어있는 공간이 있죠.

하지만 프로그램은 연속적으로 메모리를 사용해야 하기 때문에 빈공간인 0x4~0x6, 0x8~0x9(물리)를 사용하면 안됩니다

그래서 나온 개념이 가상주소입니다 이렇게 사용하게 되면

 

★프로그램은 가상메모리인 0x1~0x3, 0x4~0x5(가상)까지 접근하게 되고 운영체제는 알아서 물리적인 메모리인  0x4~0x6, 0x8~0x9(물리)를 찾아가서 값을 읽어오게 됩니다

 

한줄요약하자면.. 물리적인 빈공간을 가상주소에 연결해서 가상주소에 접근하면 운영체제가 알아서 가상주소와 연결된 물리주소를 찾아가서 값을 읽어옴

 

추가로

가상주소는 0x0 ~ 0xFFFFFFFF 까지이며 프로그램은 4byte 메모리를 사용해야 합니다

위 그림은 이해를 돕기위해 쉽게 했으므로 메모리 용량과 주소는 제 임의대로 한것입니다

 

---

3. PE 헤더

PE 헤더는 많은 구조체들의 집합이다.

위에서 본 것처럼 DOS header 부터 Section header 까지 PE 헤더의 구조체들이다.

 

1) DOS Header

PE File Format 의 이름이 알려주듯이 처음 개발 될 때는 당시에 널리 사용되던 DOS 파일에 대한 호환성을 고려해 만들었다. 그 결과로 PE 헤더의 제일 앞부분에는 기존의 DOS EXE Header 를 확장시킨 IMAGE_DOS_HEADER 구조체가 존재한다.

IMAGE_DOS_HEADER 의 구조체이다.

IMAGE_DOS_HEADER 구조체 크기는 40이다. 이 구조체에서 꼭 알아야 할 멤버는 e_magic 과 e_lfanew 이다.

 

e_magic : DOS signature (4D5A => ASCII 값 "MZ") --- 이것을 보고 IMAGE_DOS_HEADER 임을 알 수 있다.

e_lfanew : NT header 의 오프셋을 표시

 

---

Intel 계열 CPU 는 자료를 역순으로 저장한다. 이를 리틀 엔디언 표기법이라고 한다.

---

 

2)DOS Stub

DOS Stub 의 존재여부는 옵션(없어도 파일 실행 가능) 이며 크기도 일정하지 않다. 

코드와 데이터의 혼합으로 이루어져 있다.

MS-DOS 호환 모드를 가지고 있어서 DOS 환경에서 실행하면 , DOS EXE 실행코드가 동작하면서 " This program cannot be run in DOS mode" 문자열을 출력하고 종료된다. 이 특성을 잘 이용하면 DOS 와 Windows 에서 모두 실행가능한 파일을 만들 수 있다.

 

3)NT Header

NT header 구조체 IMAGE_NT_HEADERS 이다.

IMAGE_NT_HEADERS 구조체는 3개의 멤버로 구성되어있는데, 제일 첫 멤버는 Signature 로 50450000h ( "PE" 00) 값을 가진다. 그리고 FileHeader 와 OptionalHeader 구조체 멤버가 있다.

 

IMAGE_NT_HEADERS 구조체의 크기는 F8 (158) 이다. 상당히 큰 구조체인데. 

 

여기서부터 NT header구조체의 시작을 판별하실 수 있습니다

3-1) Signature

NT header 구조체의 시작을 알리며 ASCII값이 PE ( 50450000)로 시작합니다

 

 

3-2) IMAGE_FILE_HEADER

[ IMAGE_FILE_HEADER ]

가장 중요한 빨간색 4개의 값만 설명드리겠습니다

1. Machine

CPU별로 고유한 값을 가지면서 IA-32 호환 CPU 14Ch의 값을 IA-64호환 CPU는 200h의 값을 가집니다

- CPU별로 고유한값을 가집니다

- IA-32호환CPU = 14Ch

- IA-64호환CPU = 200h

2. NumberOfSections

이 값은 다음에 나오는 Section들의 갯수이며 최소 1개 이상이여야 합니다

3. SizeOfOptionalHeader

이 값은 IMAGE_NT_HEADERS구조체의 마지막 구조체 IMAGE_OPTIONAL_HEADER 32의 구조체 크기를 나타냅니다

- IMAGE_NT_HEADERS안에 IMAGE_OPTIONAL_HEADER 32크기를 나타냄

4. Characteristics

이 값은 파일속성에 대한 부분

헥사 에디터로 따지면 이부분이 되겠으며 말 그대로 파일의 속성에 대한 부분입니다

 

여기서 SizeOfOptionalHeader의 값이 E0입니다 10진수로 바꾸면 224가 되는데 이것이 헤더의 총 길이가 되겠습니다

 

 

3-3)IMAGE_OPTIONAL_HEADER 32

역시 중요한 부분만 빨간색으로 칠했으며 해당 부분만 설명드리겠습니다

 

1. Magic

이 구조체가 32bit용이면 10Bh

     64bit 용이면 20Bh 의 값을 가집니다

 

2. AddressOfEntryPoint

EP(Entry Point)의 RVA 주소값이 들어있습니다

쉽게말해 프로그램에서 최초로 실행되는 코드의 시작주소. 매우중요한 값입니다

 

3. Image Base

PE파일이 맵핑되는 시작주소를 가리킵니다

 

4. SectionAlignment

메모리에서의 섹션의 최소단위를 나타냅니다

 

5. FileAlignment

파일에서의 섹션의 최소단위를 나타냅니다

 

6. SizeOfImage

메모리에서의 PE구조 크기를 나타냅니다

 

7. SizeOfHeader

PE header의 크기를 나타냅니다

 

8. Sybsystem

-1: 드라이버파일(SYS,VXD)이라는 뜻입니다

-2: GUI파일이라는 뜻입니다

-3: CUI파일이라는 뜻입니다

 

9. NumberOfRvAndSizes

바로 밑에 있는 IMAGE_DATA_DIRECTORY 구조체의 배열크기를 정합니다

 

 

---- Section Header 부터 다시 시작 -----

 

 

-리버싱 핵심원리와  https://rednooby.tistory.com/33 [개발자의 취미생활] 블로그에서 자료를 얻었습니다.-