PEView
-
[리버싱 핵심원리 study] 41장 ASLRReverse Engineering 2021. 2. 8. 19:31
ASLR(Address Space Layout Randomization)은 Windows Vista 이후부터 지원되는 기능으로, PE 파일이 메모리에 로딩될 때 로딩 시작 주소를 랜덤 하게 바꿔주는 기능이다. 이로 인해 프로세스의 스택, 힙의 시작 주소도 랜덤 하게 바뀐다. 모든 실행 파일에 적용되는 기술은 아니며, 아래와 같은 두 가지 조건을 만족해야 한다. (1) OS의 Kernel Version이 6이상 (Vista 이상) (2) 개발 도구에서 /DYNAMICBASE 옵션 지원 위 조건 중 (2)는 Visual C++의 경우 프로젝트 속성의 링커-> 고급 메뉴에서 확인해 볼 수 있다. 만약 ASLR 기능을 원하지 않을 경우 옵션에서 /DYNAMICBASE:NO로 설정해주면 된다. 1. ASLR.ex..
-
[리버싱 핵심원리 study] 17장 실행 파일에서 .reloc 섹션 제거하기Reverse Engineering 2020. 12. 29. 23:48
1. .reloc 섹션 EXE 형식의 PE 파일에서 Base Relocation Table은 실행에 큰 영향을 끼치지 않으므로, 제거 후 실행 테스트를 해도 정상적으로 실행이 잘 된다. (DLL, SYS는 필수) 2. reloc.exe .reloc 섹션을 제거하는 실습으로 다음과 같은 과정을 진행한다. (1) .reloc 섹션 헤더 정리 (2) .reloc 섹션 제거 (3) IMAGE_FILE_HEADER 수정 (4) IMAGE_OPTIONAL_HEADER 수정 1) .reloc 섹션 헤더 정리 위와 같이 PEView로 예제 파일을 살펴보면 270 offset에서 시작하는 것을 확인할 수 있다. 270 ~ 297 영역을 HxD를 이용하여 0으로 바꾸자. (IMAGE_SECTION_HEADER의 크기는 3..
-
[리버싱 핵심원리 study] 16장 Base Relocation TableReverse Engineering 2020. 12. 29. 23:29
1. PE 재배치 PE 파일이 메모리에 로딩될 때 ImageBase 주소에 로딩이 된다. DLL의 경우 이미 다른 DLL이 로딩되어 있다면 다른 비어 있는 주소 공간에 로딩된다. 이와 같은 것을 PE 재배치라고 한다. DLL과 달리 EXE 파일은 가장 먼저 메모리에 로딩되기 때문에 재배치를 고려할 수가 없었으나, Windows Vista 이후부터는 보안 강화를 위해 ASLR(Address Space Layout Randomization) 기능이 추가되어 실행될 때마다 랜덤 한 주소에 로딩이 된다. => 이 글을 작성하는 시점에 Windows 10 환경에서 OllyDbg로 notepad.exe를 여러번 재실행해보았지만, 로딩되는 주소에는 변화가 없었다. 해당 부분에 대한 궁금증을 해소하기 위해서 구글링을 ..
-
[리버싱 핵심원리 study] 14장 실행 압축Reverse Engineering 2020. 12. 29. 00:36
실행 압축(run-time packer)은 리버싱의 단골 주제로, 이를 이해하기 위해서는 PE file format과 운영체제의 기본적인 사항들에 대해 잘 알고 있어야 하며, 압축/해제 알고리즘에 대한 기본적인 내용에 대해서 알아야 한다. 실행 압축이란, 말 그대로 실행(PE: Portable Executable) 파일을 대상으로 파일 내부에 압축해제 코드를 포함하고, 실행되는 순간에 메모리에서 압축을 해제시킨 후 실행하는 기술이다. 일반적인 압축과는 다르게 실행이 가능하다는 특징이 있으며, 실행 압축을 통해 리버싱을 방해할 수도 있으며 코드 양이 더 늘어나는 경우도 있다. 1. 패커(Packer) PE 패커(Packer)란 실행 파일 압축기를 말한다. #1 사용 목적 PE 파일의 크기 감소를 통해 네트..