<일반적인 PE 파일의 구조>

| PE 헤더 | 프로그램 정보 : 파일 속성, 파일 형식, 아키텍쳐 등 섹션 헤더 정보 : 파일 오프셋 + 메모리 매핑 필요한 기능 : 운영체제에서 빌려와야 하는 기능 | | --- | --- | | PE 섹션 | - 실제 프로그램 내용이 저장되는 블록

• PE가 가상 주소 공간에 로드된 후 섹션 애요이 참고되고 실행
• 코드 섹션 : .text
• 데이터 섹션 : .data
• 리소스 섹션 : .rsrc 기타 정보를 섹션별로 구분 |
• 의심스러운 바이너리가 윈도우 실행파일인 .exe / .dll / .sys / .drv / .com / .ocx 등을 위한 PE(Portable Executable) 유형의 파일 포맷이라면 해당 바이너리는 윈도우 시스템을 타겟으로 제작, 디자인되었다는 사실을 추정할 수 있다.

PE 실행파일 헤더

• IMAGE_DOS_HEADER
  • e_magic : PE의 가장 첫 번째 값으로 ‘MZ(마크 즈비코프스키:개발자)’ 헤더를 통해 MS-DOS 헤더의 시작을 알림 (이 바이너리가 PE 파일인지 검사)
  • e_lfanew : IMAGE_NT_HEADER의 구조체 위치를 알림 (PE 헤더의 위치를 알려줌)

• IMAGE_NT_HEADER
  • PE(Signature) : 4바이트 (50 45 00 00)

• IMAGE_FILE_HEADER (구조체)

  • Machine : 어떤 CPU에서 실행 가능한지 알림 → Desktop/Laptop에서 사용할 경우 별로 필요 없음
  • NumberOfSections : 이 파일이 가진 섹션의 개수를 알림 → 일반적으로 .text, .rdata, .data, .rsrc 4개 섹션이 존재)
  • TimeDataStamp : obj → EXE 파일을 만든 시간(컴파일 시간)을 알림 → 델파이로 만들어진 파일은 항상 1992년으로 표시됨

  

  • Siez of Optional Header : IMAGE_OPTIONAL_HEADER32의 구조체 크기를 알림 (크기가 바뀔 수가 있는데, 32→64비틑로 바뀌면서 크기가 늘어남)
    • PE를 로딩하기 위한 굉장히 중요한 구조체를 담고 있음
    • 운영체제마다 크기가 다를 수 있어 PE 로더에서는 이 값을 먼저 확인
  • Characteristics : 이 파일이 어떤 형식인지 알림

• IMAGE_OPTIONAL_HEADER : Standard Fields

  • Magic : 32bit인지, 64bit인지 알려줌
    • 32bit → 0x10B
    • 64bit → 0x20B
  • MajorLinkerVersion, MinorLinkerVersion : 사용한 컴파일러 버전
  • SizeOfCode : 코드 양의 전체 크기
    • 악성코드 : 이 값을 참고하여 자신의 코드를 복제할 위치 기준을 잡음
    • 보안솔루션 : 코드 섹션의 무결성 검사
  • AddressOfEntryPoint : 파일이 메모리에서 시작되는 지점 (중간에 어디에서 시작이 되는지에 대한 지점)
  • BaseOfCode : 실행코드위치 → 실행가능한 코드에서 , 프로세스 메모리에서 차지되는 위치 → EP → BaseOfCode를 통해서 파악
  • AddressOfEntryPoint + BaseOfCode를 더하면 정확한 Entry Point를 알 수 있다.

  

  • Image Base : 로드할 가상메모리 주소 ex)notepad.exe 같은 윈도우 기본 프로그램은 0x4000000, 그렇지 않은 경우 랜덤(ASLR)
  • Section Alignment, File Alignment : 각 섹션을 정렬하기 위한 정렬 단위 (기본값 : 0x1000)
  • Size Of Image : EXE/DLL이 메모리에 로딩되었을 때 전체 크기
  • Size Of Headers : PE헤더의 크기를 알림(기본값 : 0x1000) 사실 1000바이트가 안되는데 얼라이먼트가 구역을 나누어줌
  • IMAGE_DATA_DIRECTOR 구조체 → 16개 (https://msdn.microsoft.com/ko-kr/library/windows/desktop/ms680305(v=vs.85).aspx)

    • VirtualAddress와Size 필드

    • Export, Import, rsrc 디렉터리와 IAT 등 가상 주소와 크기 정보

    • 가상메모리, 실제메모리는 아님

    • 실제 메모리, ex) XP에서 프로세스 하나에 가상메모리 4GB씩

    • 메모리를 적절히 로드하고, 관리하기 위함?

    • 데이터 디렉터리를 대표하는 구조체.16가지 디렉터리가 존재. 예약된 영역을 제외하면 15개.

      • PE : 32비트 포맷
      • PE+ 또는 PE32+ : 64비트 버전

      

• IMAGE_SECTION_HEADER

  • SECTION의 종류

• ㅇㄹ