[RCE] PE file format (1)

본론에 들어가기 앞서, PE가 무엇인지 간단히 설명하도록 하겠다.

1.PE란?
PE(Portable Executable): 윈도우 상에서 실행할 수 있는 파일이다.

실행 계열	EXE, SCR
드라이버 계열	SYS, VXD
라이브러리 계열	DLL, OCX, CPL, DRV
오브젝트 파일	OBJ

2.PE의 종류에는 무엇이 있는가?

1)실행계열
SCR: 스크린 세이버의 약자로, 화면 보호기 파일을 의미한다.

2)드라이버 계열
SYS: 시스템의 약자이며 운영체제 관련 파일이다.
VXD: Virtual Device Driver , 하드웨어와 소프트웨어의 동작을 관리하는 가상 디바이스 드라이버 파일이다.

3)라이브러리 계열
DLL: Dynamic Link Library의 약자. 동적 링크 라이브러리 파일로, 다른 프로그램에서 이용하는 함수들의 집합.

DOS 시절에는 없었다고 한다.

OCX:  윈도우에서 실행되는 프로그램에서 사용되기 위해 만들어질 수 있는 특수목적 프로그램이다. 윈도우 크기 조정이나 스크롤 처리같은 기능을 제공한다.

DRV: Driver의 약자, 하드웨어의 인식과 구동을 제어한다.

4)오브젝트 파일
OBJ: 컴파일이 끝나 기계어로 변환된 파일.

3.PE 구조
이제 본격적으로 PE파일의 구조를 알아보자.

보이는 바와 같이 헤더와 섹션으로 이루어진 구조이다.

1)DOS Header
PE file format 제작 시 DOS 파일에 대한 하위호환성을 고려해 IMAGE_DOS_HEADER 구조체가 존재한다.

typedef struct _IMAGE_DOS_HEADER {
    WORD e_magic; //Dos signature, "MZ" 
    WORD e_cblp; 
    WORD e_cp; 
    WORD e_crlc; 
    WORD e_cparhdr; 
    WORD e_minalloc;
    WORD e_maxalloc; 
    WORD e_ss; 
    WORD e_sp; 
    WORD e_csum; 
    WORD e_ip; 
    WORD e_cs; 
    WORD e_lfarlc;
    WORD e_ovno; 
    WORD e_res[4]; 
    WORD e_oemid; 
    WORD e_oeminfo; 
    WORD e_res2[10]; 
    LONG e_lfanew; // NT header의 오프셋 
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

대표적인 IMAGE_DOS_HEADER 구조체의 멤버로는 e_magic과 e_lfanew가 있다.
e_magic: Dos signature(4D5A, MZ)

e_lfanew: NT Header의 오프셋. (위 그림에서는 000000D0을 의미한다. offset 39~3C)
실제로 오프셋 D0에는 NT header의 시작을 알리는 PE signature(5045, PE)가 존재한다.

2)Dos stub
Dos stub의 존재 여부는 옵션이며, 크기도 일정치 않다.
코드와 데이터가 섞여있으며, 아래 이미지의 40~4D 오프셋은 dos stub의 16bit 어셈블리 명령이다.

DOS mode에서 실행하면 "This program cannot be run in DOS mode"를 출력 후 종료하는 간단한 구조다.

3)NT Header

위의 이미지처럼 PE 시그니처가 눈에 띈다.
아래는 IMAGE_NT_HEADERS 구조체인데, 시그니처와 File Header 구조체, Optional Header 구조체로 이루어져있다.

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature; 
    IMAGE_FILE_HEADER FileHeader; 
    IMAGE_OPTIONAL_HEADER32 OptionalHeader; 
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

먼저 NT Header의 File header 구조체를 살펴보자.
3-1)NT Header - File Header

typedef struct _IMAGE_FILE_HEADER { 
    WORD Machine; 
    WORD NumberOfSections; 
    DWORD TimeDateStamp; 
    DWORD PointerToSymbolTable; 
    DWORD NumberOfSymbols; 
    WORD SizeOfOptionalHeader; 
    WORD Characteristics; 
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

Machine: CPU 별로 고유한 값을 가지며, 32bit intel x86 호환 칩에서는 14C라는 값을 볼 수 있다. (4C 01)

NumberOfSections: 섹션의 개수를 나타내며, 반드시 실제 섹션의 개수와 같고 0보다 커야 한다. (03 00)

TimeDateStamp: 파일의 빌드 시간을 나타낸다. (9A 14 14 4F)

SizeOfOptionalHeader: IMAGE_OPTIONAL_HEADER32 구조체의 크기를 나타낸다. 구조체의 크기는 정해져 있지만, PE로더가 이 값을 보고 구조체 크기를 인식하기 때문에 필요하다. (00E0)

Characteristics: 파일의 속성을 나타낸다. (0F 01)


NT Header의 Optional Header 구조체를 보자.
3-2)NT Header - Optional Header

typedef struct _IMAGE_DATA_DIRECTORY { 
    DWORD VirtualAddress; 
    DWORD Size; 
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 

#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16 

typedef struct _IMAGE_OPTIONAL_HEADER { 
    WORD Magic; 
    BYTE MajorLinkerVersion; 
    BYTE MinorLinkerVersion; 
    DWORD SizeOfCode; 
    DWORD SizeOfInitializedData; 
    DWORD SizeOfUninitializedData; 
    DWORD AddressOfEntryPoint; 
    DWORD BaseOfCode; 
    DWORD BaseOfData; 
    DWORD ImageBase; 
    DWORD SectionAlignment; 
    DWORD FileAlignment; 
    WORD MajorOperatingSystemVersion; 
    WORD MinorOperatingSystemVersion; 
    WORD MajorImageVersion; 
    WORD MinorImageVersion; 
    WORD MajorSubsystemVersion; 
    WORD MinorSubsystemVersion; 
    DWORD Win32VersionValue; 
    DWORD SizeOfImage; 
    DWORD SizeOfHeaders; 
    DWORD CheckSum; 
    WORD Subsystem; 
    WORD DllCharacteristics; 
    DWORD SizeOfStackReserve; 
    DWORD SizeOfStackCommit; 
    DWORD SizeOfHeapReserve; 
    DWORD SizeOfHeapCommit; 
    DWORD LoaderFlags; 
    DWORD NumberOfRvaAndSizes; 
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; 
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

Magic: 몇 bit 프로그램이냐에 따라 다른 값을 가진다. 32bit 프로그램이라면 010B의 값을, 64bit 프로그램이라면 020B의 값을 갖는다. (0B 01)

AddressOfEntryPoint: entrypoint의 상대주소를 나타낸다. 위 이미지에서는 10 F0의 값을 갖는다. (F0 10)

ImageBase: PE파일이 로딩되는 시작 주소로, exe 및 dll 파일은 user memory 영역에 로딩된다. (00 00 04 00)

Section Alignment, File Alignment: Alignment는 정렬을 의미한다. 파일/메모리의 섹션 크기는 이의 배수가 되어야 한다.
위에선 둘 다 1000의 값을 갖고 있다.

SizeOfImage: PE가 메모리에 로딩되었을 때 가상 메모리에서 PE Image가 차지하는 크기이다. (00 90 00 00)

SizeOfHeaders: PE 헤더의 전체 크기를 나타낸다. 역시나1000의 값을 갖고 있다. (00 10 00 00)

Subsystem: 시스템 드라이버 파일인지, 일반 실행파일인지 구별한다. 위 파일은 일반 실행 파일이므로, 02의 값을 갖는다. (02 00)

NumberofRvaAndSizes: DataDirectory 배열의 개수를 나타낸다. 10의 값을 가지고 있음을 확인할 수 있다. (10 00 00 00)

DataDirectory: IMAGE_DATA_DIRECTORY 구조체의 배열을 나타내며, 각 항목마다 정의된 값을 가진다.

4)SECTION Header
안정성 때문에 섹션으로 나누어 저장한다.
한 곳에 코드와 데이터를 섞어놓고, 데이터를 쓰다 오버플로우가 발생한다면 코드를 그대로 덮어 쓸 수 있다.

섹션의 속성에는 file-memory에서의 시작 위치, 크기, 권한 등이 있다.
각 섹션별로 IMAGE_SECTION_HEADER 구조체 배열로 구성된다.

PEview 프로그램에 파일을 올려 앞의 내용을 직접 확인해 보는 것을 권장한다.