1. PE란 ?


PE( Portable Executable )는 윈도우 운영체제에서 사용되는 실행파일, DLL, object 코드 등을 위한 파일형식이다. 이는 윈도우 로더가 실행 가능한 코드를 관리하는데 필요한 정보를 캡슐화한 데이터 구조체이다.



2. PE 구성요소



PE는 위와 같은 구조를 갖고 있으며, DOS stub은 PE 파일의 필수 구성요소가 아니기 때문에 생략이 가능하다.


- DOS Header

PE 파일은 DOS Header로 시작한다. 따라서 디스크 상에서는 파일의 첫 부분이 DOS header가 된다. 메모리 상에서 PE 파일은 ImageBase에서 시작하기 때문에 DOS header는 ImageBase에서 찾을 수 있다.

stud_PE 프로그램으로 Test.exe 파일을 열었을 때 확인할 수 있는 PE 헤더의 일부분이다.

실제로 해당 위치에 존재하는지 Immunity Debugger로 확인을 하면 다음과 같다.

00400000 번지에 MZ 문자가 찍혀있는 것을 볼 수 있다.

MZ는 DOS Header의 시그니처다. 이로써 메모리에 Image base에 DOS Header가 로드됨을 알 수 있다.


- DOS stub

윈도우용 어플리케이션을 도스 모드에서 실행시킨 경우 어플리케이션이 정상적으로 동작하지 않는다. 이러한 경우 윈도우는 어플리케이션 대신에 스텁 코드를 실행한다. 스텁 코드에는 DOS 모드에서 실행 가능한 프로그램이면 어느 것이나 삽입이 가능하다. 


- PE Header

PE Header는 위와 같은 구조체로 정의되어 있다.

디스크 상이나 메모리 상에서 PE 헤더의 위치는 DOS Header에 있는 e_lfanew 값을 이용하여 계산할 수 있다. e_lfanew는 DOS Header구조체의 마지막에 위치한다.

e_lfanew에는 파일의 시작점에서부터 PE 헤더까지의 오프셋 값이 저장되어 있다.

Hex 에디터로 열어보게 되면 위와 같이 DOS Header 마지막에 e_lfanew 값이 들어 있고, 이 값과 DOS Header의 시작 주소를 더하면 PE Header를 찾을 수 있다.


- 섹션 테이블

섹션 테이블은 PE Header 바로 뒤에 위치한다. 즉, 섹션 테이블을 찾으려면 PE Header 시작 주소에서 PE Header 사이즈를 더해주면 된다.

PE 헤더는 PE 시그너처( 4바이트 고정 )와 File Header( 20바이트 고정 ) 그리고 Optional Header( 224바이트, 가변 )로 구성되어 있다. Option Header의 크기는 File Header에 저장되어 있다.


- 섹션 위치

각 섹션의 위치는 섹션 테이블에 저장된 섹션 헤더를 통해서 확인이 가능하다. 섹션 헤더에는 해당 섹션의 위치와 관련하여 Virtual Address라는 값과 PointerToRawData라는 값이 저장되어 있다. PointerToRawData는 디스크 상의 섹션의 위치를 가리키는 offset 값이고, VirtualAddress는 메모리 상에서의 section의 위치를 가리키는 offset 값이다.

Stud_PE로 Section Header를 보면 위와 같다.

.text 섹션의 RawOffset 값이 0x200임을 알 수 있다. 이는 디스크 상의 .text 섹션이 파일의 시작점으로부터 0x200 떨어진 곳에서 시작한다는 것을 의미한다.

마우스 오른쪽 클릭한 후 "GoTo Section Start"를 선택하면 .text 섹션의 시작 위치로 이동할 수 있다.

Cursor를 첫번째 바이트에 위치하고 하단 정보를 확인하면 Cursor offset이 앞서 살펴본 PointerToRawData 값과 같음을 확인할 수 있다. Virtual offset 값은 ImageBase 값인 0x400000에 Virtual offset 값인 0x1000을 더하면 된다.

Immunity Debugger로 보면 위와 같다. 


* PE 파일은 디스크 상의 모습과 메모리 상의 모습이 거의 같다.


DOS Header에서 Section table까지의 구성은 디스크 상의 PE 파일이나 메모리 상의 PE 파일 모두 동일하다. 이는 디스크 상의 PE 파일이 메모리로 로드될 때 DOS Header부터 Section table까지는 그대로 로드됨을 의미한다. 차이가 발생하는 부분은 각 세션인데, 이는 alignment와 관련이 있다. alignment와 관련해서 기억해야 할 사실은 아래와 같다.


> 섹션들의 디스크 상의 정렬 단위와 메모리 상의 정렬단위가 다를 수 있다.

> 디스크 상의 정렬 단위와 메모리 상의 정렬 단위는 각각 Optional Header의 File Alignment와 Section Alignment에 저장된다.

> 디스크 상의 섹션은 File Alignment의 배수가 되는 주소에서 시작한다.

> 메모리 상의 섹션은 Section Alignment의 배수가 되는 주소에서 시작한다.



참고

http://zesrever.tistory.com

Posted by Imp3rio

스택 버퍼 오버플로우 공격은 모든 경우에 가능하지 않고 프로그래머가 취약한 특정 함수를 사용해야 가능하다. 다음 예를 통해 스택 버퍼 오버플로우 공격을 실습해보자.


stack1.c 파일을 다음과 같이 작성을 하고 다음 명령으로 컴파일을 한다.

gcc -o stack1 stack1.c -m32 -fno-stack-protector 

그러면 위와 같이 stack1 실행파일이 생성된다.


먼저 stack1.c의 코드를 분석하면 다음과 같다.

1. modified 변수와 buffer 변수가 있다.

2. buffer의 크기는 64바이트이다.

3. 프로그램을 실행할 때 인자가 없으면 에러를 뱉어내고 종료한다.

4. modified 변수를 0으로 초기화한다.

5. 실행 시 받은 인자를 buffer에 복사한다.

6. modified의 값이 0x61626364이면 공격 성공

7. 그렇지 않으면 공격 실패


분석을 통해 알아낸 것은 modified 변수의 값은 절대 0x61626364 값을 가질 수 없는데 이 값을 가지고 분기를 한다는 사실과 buffer의 값을 프로그램 실행 시 입력을 받는 다는 것 그리고 buffer의 크기가 64바이트라는 것이다.

즉, buffer에 오버플로우를 일으켜 modified 변수를 변조시켜야 한다는 것이다.

다음 명령으로 공격을 해보자.

./stack1 `python -c 'print "A"*64 + "dcba"'`


공격이 성공한 것을 확인할 수 있다.


왜 이러한 현상이 발생하는지 그 원리를 살펴보도록 하자.

위 코드에서 strcpy로 buffer에 데이터를 저장한 뒤의 스택 상황은 위와 같다.

buffer에 64바이트 만큼 A가 채워지고 dcba가 modified 영역에 저장이 된다.

즉, 오버플로우가 발생해서 다른 변수에 영향을 주는 것이다.


이렇듯 strcpy와 같이 오버플로우에 취약한 함수를 사용하는 프로그램에 대해 버퍼 오버플로우 공격을 수행할 수 있다.

'NCS보안3기 > 시스템 해킹' 카테고리의 다른 글

[System Hacking] 메모리  (0) 2017.05.16
[System Hacking] CPU와 레지스터  (0) 2017.05.16
[System Hacking] 운영체제  (0) 2017.05.15
Posted by Imp3rio

- 스택


" 후입선출( LIFO : Last In First Out ) 방식에 의해 정보를 관리하는 데이터 구조. 스택에는 TOP이라고 불리는 스택의 끝부분에서 데이터의 삽입과 삭제가 발생한다. 즉, 스택에 데이터를 삽입하면 TOP 위치에 정보가 위치한다. 그리고 스택에서 정보를 읽어오려 하면 스택의 TOP 위치에 있는 정보가 반환된다. 따라서 스택에는 가장 나중에 삽입된 정보가 가장 먼저 읽히는 특징이 있다. "


컴퓨터 메모리상의 스택은 프로그램의 함수 내에서 정의되는데, 함수 종료와 동시에 사라지는 자동 변수가 저장되고 함수가 호출될 때 함수 내 로컬 변수 등이 저장되는 곳이다. 스택에 저장된 로컬 변수는 함수가 실행되는 동안만 존재하며 함수 실행이 종료되면 해당 변수들도 사라진다.


- 힙


" 프로그램의 실행 중 필요한 기억 장소를 할당하기 위해 운영체제에 예약되어 있는 기억 장소 영역. 프로그램 실행 중에 데이터를 저장하기 위해 기억 장소를 요청하면 운영체제는 힙에 존재하는 기억 장소를 프로그램에 할당한다. 프로그램에서는 기억 장치가 더 이상 필요 없으면 할당받았던 기억 장소를 운영체제에 반납하는데, 이때 운영체제에서는 반납된 기억 장소를 다시 힙에 돌려준다. 힙에 대한 기억 장소는 포인터를 통해 동적으로 할당되거나 반환되며 연결 리스트, 트리, 그래프처럼 동적인 특성이 있는 데이터 구조에서 널리 사용된다. "


힙은 프로그램이 실행될 때까지 미리 알 수 없는 가변적인 양의 데이터를 저장하기 위해, 프로그램의 프로세스가 사용할 수 있도록 예약되어 있는 메인 메모리의 영역이다. 


- 데이터 세그먼트


초기화된 데이터 세그먼트라고도 불리며, 초기화된 외부 변수나 static 변수 등이 저장되는 영역이다. 


- BSS 세그먼트


초기화되지 않은 데이터 세그먼트라고도 불리며, 프로그램이 실행될 때 0이나 NULL 포인터로 초기화되는 영역이다. 


- 텍스트 세그먼트


CPU에 의해 실행되는 머신 코드가 있는 영역으로, EIP가 다음에 실행하는 명령을 가리키고 있다.

'NCS보안3기 > 시스템 해킹' 카테고리의 다른 글

[System Hacking] Stack Buffer Overflow  (0) 2017.05.16
[System Hacking] CPU와 레지스터  (0) 2017.05.16
[System Hacking] 운영체제  (0) 2017.05.15
Posted by Imp3rio