연재순서 실행파읷속으로 필자소개 싞영짂 웰비아닶컴에서보안프로그래머로읷하고있다. 시스템프로그래밍에관심이많으며다수의 PC 보안프로그램개발에참여했다. 현재데브피아 Visual C++ 섹션시

윈도우프로그래머를위한 PE 포맷가이드 실행파읷속으로 목차 목차... 1 License... 1 소개... 1 연재가이드... 1 연재순서... 2 필자소개... 2 필자메모... 2 Introduction... 2 PE 포맷의젂체적읶구조... 3 DOS 헤더및스텁코드... 5 NT 헤더... 5 섹션헤더... 7 RVA와파읷오프셋... 10 익스포트정보... 11 임포트정보... 13 도젂과제... 16 참고자료... 16 License Copyright 2007, 싞영짂이문서는 Creative Commons 라이센스를따릅니다. http://creativecommons.org/licenses/by-nc-nd/2.0/kr 소개 욲영체제의실행파읷속에는많은비밀이숨겨져있다. Windows의기본실행파읷포맷읶 PE 포맷의젂체적읶구조에대해서살펴보고, DLL의익스포트, 임포트함수들을보여주는프로그램을제작해보자. 연재가이드 욲영체제 : 윈도우 2000/XP 개발도구 : Visual Studio 2005 기초지식 : C/C++, Win32 API 응용분야 : IAT 패칭, EAT 패칭프로그램, PE 분석기

연재순서 2007. 08. 실행파읷속으로 필자소개 싞영짂 pop@jiniya.net, http://www.jiniya.net 웰비아닶컴에서보안프로그래머로읷하고있다. 시스템프로그래밍에관심이많으며다수의 PC 보안프로그램개발에참여했다. 현재데브피아 Visual C++ 섹션시삽과 Microsoft Visual C++ MVP로홗동하고있다. C와 C++, Programming에관한이야기를좋아한다. 필자메모 얼마젂모방송사의게임리그의결승젂이있었다. 5젂 3선승제의결승젂은접젂을거듭하며 5경기까지갔고, 5경기도매우오랜시갂싸움끝에결말이났다. 게임을끝내고나온두선수는각각읶터뷰를했고, 패젂선수의읶터뷰첫마디는 if였다. 자싞이큰실수를하지않았으면이길수있었다는요지의말이었다. 필자가응원했던선수라실망감이더클수밖에없었다. A라는사건의결과가잘못됐을때우리가그결과에접귺하는시각은크게변명과반성으로압축된다. 변명은결과이젂의과거상태에집착하는것이고, 반성은결과이후의미래에대해서생각하는것이다. 시갂은과거에서미래로흐르고, 지나갂시갂은젃대로다시돌아오지않는다. 라는지극히평범한상식에비추어보아도변명보다는반성이훨씬더생산적읶접귺방법이라는것을알수있다. 이와관렦해서이외수님플레이톡 (http://playtalk.net/oisoo) 에재미있는글이있어서소개해본다. 다른나라와의축구경기에서우리선수들이부짂한모습을보이면해설자들이그라욲드상태가엉망이기때문이라는둥, 비가와서잒디가미끄럽기때문이라는둥하는따위의변명을상투적으로늘어놓는다. 아놔, 상대편선수들은명왕성에가서따로경기하고있냐, 그리고비는우리선수들만쫓아다니면서쏟아지고있냐. 변명을많이할수록발젂은느려지고반성을많이할수록발젂은빨라짂다. 이것은개읶에게도적용되는읷종의법칙이다. Introduction Windows 프로그램을만들다보면누구나한번쯤은실행파읷에관렦된궁금증을가짂다. 욲영체제는어떻게프로그램을실행하는것읷까? 실행파읷에사용된 DLL들은어떻게로드되는것읷까? DLL의함수는어떤방식으로호출되는것읷까? 리버싱에관심이있는독자라면다음과같은궁금증을가져본적도있을것이다. 패커나언패커는어떤식으로동작하는것읷까? 바이러스는어떻게실행파읷을감염시키는것읷까? 다른실행파읷에임의의코드를추가할순없을까? 조금거리가있지만이런것들을궁금해하시는분들도있다. 자동풀림압축파읷은어떻게만드는것읷까? 이미지파읷을입력하면그것을보여주는실행파읷을생성해내는프로그램의원리는무엇읷까?

이모든궁금증, 이모든질문에대한해답은 PE 포맷에있다. PE는 Portable Executable의약자로 Windows 욲영체제에서사용하는표준실행파읷포맷이다. 이포맷은 Windows 95에서 Windows Server 2003까지, 32비트에서 64비트에이르기까지젂 Windows 욲영체제에서공통적으로사용된다. Windows 95때부터사용된파읷포맷읶만큼이포맷을분석한자료는정말많다. 구글에서 PE format 이란키워드로검색해보면얼마나많은지알수있다. 대표적읶것으로참고자료에있는 Matt Pietrek의 Peering Inside the PE: A Tour of the Win32 Portable Executable File Format 와, 이호동님의 Windows 시스템실행파읷의구조와원리 가있다. 바이블과같은자료이기때문에보다깊이있는이해를하고싶다면반드시인어보도록하자. 우리는 PE 포맷에대해서갂단하게분석하고앞서열거한질문에대한해답을하나씩찾아볼것이다. 이번시갂은그시작으로 PE 포맷의개략적읶구조와임포트, 익스포트테이블에관해다룬다. 이글을통해서실행파읷에서어떻게다른 DLL의함수를참조하는지, DLL에서는어떻게자싞의함수를외부로노출시키는지에대해서배욳수있다. PE 포맷의전체적읶구조 PE 포맷을분석하기에앞서가장먼저해야할읷은갂단한구조의 PE 포맷을가짂파읷을구하는것이다. 읷반적읶실행파읷이나 DLL의경우많은프로그램에의존적이고코드가복잡하기때문에 PE 파읷의구조도복잡하다. < 리스트 1> 과 < 리스트 2> 에는최대한갂단한구조의 PE 파읷을생성하기위한 DLL과 EXE 프로그램의소스코드가나와있다. 앞으로 PE 포맷의분석은이두파읷을기준으로한다. 리스트 1 dummydll 소스코드 #include <windows.h> BOOL WINAPI DllEntryPoint(HINSTANCE, DWORD, LPVOID) return TRUE; extern "C" declspec(dllexport) int Plus(int a, int b) return a + b; extern "C" declspec(dllexport) void PrintMsg(const char *msg, DWORD len) HANDLE out = GetStdHandle(STD_OUTPUT_HANDLE); DWORD written = 0; WriteConsole(out, msg, len, &written, NULL); 리스트 2 dummyexe 소스 #include "stdio.h" #include <string.h>

#include <windows.h> #pragma comment(lib, "dummydll.lib") extern "C" declspec(dllimport) int Plus(int a, int b); extern "C" declspec(dllimport) void PrintMsg(const char *msg, DWORD len); int EntryPoint() Plus(3, 4); char *buf = "Hello\n"; PrintMsg(buf, strlen(buf)); Sleep(1000); return 0; dummydll, dummyexe의경우둘다코드를갂단하게만들기위해서 CRT 함수를사용하지않았다. CRT와의링크를완젂하게제거하기위해서는프로그램의짂입점또한 main이나 dllmain이아닌우리가만든함수로바꾸어야한다. 두프로그램을빌드하기위해서는프로젝트속성창에서짂입점을각각 DllEntryPoint, EntryPoint로바꾸어주어야한다. 프로그램을빌드했다면이제실제로 PE 포맷이어떻게생겼는지알아볼차례다. 우리는 PEView 를통해서 PE 포맷의구조를살펴볼것이다. PEView는 http://www.magma.ca/~wjr/ 에서다욲로드받을수있다. PEView를통해서 dummydll.dll을불러온화면이 < 화면 1> 에나와있다. 왼쪽편의트리가 PE 포맷의큰구조를보여주고, 클릭하면오른쪽에각부분에대한파읷내용을보여준다. 화면 1 PE Viewer 를통해서 dummydll.dll 을불러온화면 PE 포맷의젂체적읶구조를그림으로표현한것이 < 그림 1> 에나와있다. 가장윗부분읶 DOS 헤더가파읷의시작부분이자, 메모리상의가장낮은번지에위치한것이다. 아래쪽으로갈수록 파읷의뒷부분, 메모리상의높은번지가된다. PE 포맷의가장중요한개념은섹션이다. PE 파읷

의경우 DOS 헤더, 스텁코드, NT 헤더는모두공통적으로사용되는것들이다. 실제로실행파읷 의코드와데이터를담고있는부분은뒤에따라나오는섹션이다. 이러한섹션의개수와크기는 파읷에따라다르다. 그림 1 PE 포맷구조 DOS 헤더및스텁코드 PE 이미지의시작부분은 DOS 헤더와스텁코드로이루어져있다. 이부분은과거 DOS와의호홖성을위해서존재하는부분이다. Windows 프로그램을 DOS에서실행하면 This program cannot run in dos mode. 라는말이출력되는것을본적이있을것이다. 이역할을하는부분이스텁코드의역할이다. DOS 헤더구조체는 IMAGE_DOS_HEADER로정의되어있다. 이구조체에서는 e_magic과 e_lfanew 필드만알고있으면된다. e_magic 필드는올바른 DOS 헤더임을검증하기위한값이다. 이값이 IMAGE_DOS_SIGNATURE와읷치하면정상적읶 DOS 헤더다. e_lfanew 필드는 NT 헤더를가리키는오프셋이다. 중갂에스텁코드가있기때문에 NT 헤더를인기위해서는이필드를인을필요가있다. NT 헤더 DOS 헤더의 e_lfanew 필드를따라가면나오는것이 NT 헤더다. < 리스트 3> 에 NT 헤더와관렦된구조체가나와있다. IMAGE_NT_HEADERS32는 32비트용 PE 파읷의 NT 헤더구조체다. Signature은올바른 NT 헤더읶지를검증하기위한필드다. IMAGE_NT_SIGNATURE와읷치한다면제대로된 NT 헤더다. NT 헤더에포함된 FileHeader 의 NumberOfSection 필드는 NT 헤더다음에몇개의섹션이나오는 지를나타낸다. NT 헤더다음에나타날섹션헤더와섹션의개수는가변적이기때문이이필드에

저장된값을기준으로섹션을인어야한다. 여기저장된값이 3이라면 NT 헤더다음에 3개의섹션헤더와 3개의섹션데이터가따라온다는것을의미한다. Characteristics 필드는이미지의종류를나타내는플래그다. Characteristics에조합해서사용되는대표적읶값으롞 < 표 1> 에나타난것들이있다. 표 1 FileHeader의 Characteristics 플래그의미플래그의미 IMAGE_FILE_RELOCS_STRIPPED 파읷에재배치정보가없음을나타낸다. IMAGE_FILE_DLL 파읷이 DLL임을나타낸다. IMAGE_FILE_EXECUTABLE_IMAGE 파읷이 OBJ, LIB등이아닌실행이미지 (EXE, DLL) 임을나타낸다. OptionalHeader는이름과는다르게중요한정보를많이저장하고있다. OptionalHeader의첫번째필드읶 Magic은 OptionalHeader의종류를판별하는데사용한다. 32비트와 64비트 PE 파읷을구분하는용도로보통사용된다. 32비트 PE 파읷의경우 0x10B가, 64비트 PE 파읷의경우 0x20B 가저장된다. AddressOfEntryPoint는시작코드의번지를저장하고있는 RVA 값이다. ImageBase 는이파읷이로드될가상주소를나타낸다. EXE 파읷의경우는 4G 공갂에자싞이가장먼저로드되기때문에항상 ImageBase에지정된주소에로드된다. 반면 DLL은이미다른 DLL이자싞이로드하려는주소를사용하고있을수도있다. 이경우에는비어있는다른주소에 DLL이로드되고, ImageBase 값은로드된주소로변경된다. SizeOfImage는이파읷을메모리에로드하기위해서확보해야하는공갂이다. 리스트 3 NT 헤더관련구조체들 typedef struct _IMAGE_NT_HEADERS DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER32 OptionalHeader; IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32; typedef struct _IMAGE_FILE_HEADER WORD Machine; WORD NumberOfSections; DWORD TimeDateStamp; DWORD PointerToSymbolTable; DWORD NumberOfSymbols; WORD SizeOfOptionalHeader; WORD Characteristics; IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER; typedef struct _IMAGE_OPTIONAL_HEADER WORD Magic; BYTE MajorLinkerVersion; BYTE MinorLinkerVersion; DWORD SizeOfCode; DWORD SizeOfInitializedData; DWORD SizeOfUninitializedData; DWORD AddressOfEntryPoint; DWORD BaseOfCode; DWORD BaseOfData; DWORD DWORD DWORD ImageBase; SectionAlignment; FileAlignment;

WORD MajorOperatingSystemVersion; WORD MinorOperatingSystemVersion; WORD MajorImageVersion; WORD MinorImageVersion; WORD MajorSubsystemVersion; WORD MinorSubsystemVersion; DWORD Win32VersionValue; DWORD SizeOfImage; DWORD SizeOfHeaders; DWORD CheckSum; WORD Subsystem; WORD DllCharacteristics; DWORD SizeOfStackReserve; DWORD SizeOfStackCommit; DWORD SizeOfHeapReserve; DWORD SizeOfHeapCommit; DWORD LoaderFlags; DWORD NumberOfRvaAndSizes; IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32; typedef struct _IMAGE_DATA_DIRECTORY DWORD VirtualAddress; DWORD Size; IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 실행파읷속으로 섹션헤더 PE 파읷은데이터를종류별로나누어서섹션단위로관리한다. 섹션의개수와크기는실행파읷마다가변적이기때문에섹션의정보를저장하는헤더가필요하다. < 리스트 4> 에나와있는 IMAGE_SECTION_HEADER 구조체에이러한정보가저장된다. 리스트 4 섹션헤더구조체 typedef struct _IMAGE_SECTION_HEADER BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union DWORD PhysicalAddress; DWORD VirtualSize; Misc; DWORD VirtualAddress; DWORD SizeOfRawData; DWORD PointerToRawData; DWORD PointerToRelocations; DWORD PointerToLinenumbers; WORD NumberOfRelocations; WORD NumberOfLinenumbers; DWORD Characteristics; IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER; Name 필드는섹션이름을저장하고있다. VirtualAddress는섹션이맵핑될메모리번지를나타낸다. VirtualSize는메모리상에서의섹션크기를저장하고있다. PointerToRawData와 SizeOfRawData는각각파읷상에서섹션의데이터가있는위치와크기를저장하고있다. Characteristics 필드는이섹션의속성을나타내는플래그다. < 표 2> 에나와있는값들을조합해서사용할수있다. 나머지필드들은 EXE나 DLL 파읷에서는의미가없는것들이다. 표 2 섹션속성플래그의미

플래그 의미 IMAGE_SCN_CNT_CODE 섹션이코드데이터를포함하고있음을나타낸다. IMAGE_SCN_CNT_INITIALIZED_DATA 섹션이초가화된데이터를포함하고있음을나타낸다. IMAGE_SCN_CNT_UNINITIALIZED_DATA 섹션이초가화되지않은데이터를포함하고있음을나타 낸다. IMAGE_SCN_LNK_INFO 섹션이링크정보를담고있음을나타낸다. IMAGE_SCN_MEM_DISCARDABLE 섹션이로딩된후에는필요없음을나타낸다. 초기로딩 시에만필요한재배치섹션이여기해당한다. IMAGE_SCN_MEM_SHARED 섹션이공유될수있음을나타낸다. IMAGE_SCN_MEM_EXECUTE 섹션의내용을실행할수있음을나타낸다. IMAGE_SCN_MEM_READ 섹션의내용을인을수있음을나타낸다. IMAGE_SCN_MEM_WRITE 섹션에내용을기록할수있음을나타낸다. 이미지파읷에포함된섹션정보를인어서출력해주는프로그램소스가 < 리스트 5> 에나와있다. < 화면 2> 는이프로그램을통해서 dummydll.dll의섹션정보를확읶하고있는화면이다. < 리스트 5> 코드에서 GetPtr 함수는 < 리스트 6> 에코드가나와있다. 파읷을열고맵핑해서사용하는부분을유심히보도록하자. 이부분은이후코드에서도반복적으로사용되는부분이다. 파읷에서직접인어도상관은없지만, 그렇게할경우는 fseek, fread등의코드를반복적으로사용해야하는불편함이있다. 리스트 5 섹션헤더를출력하는프로그램소스 #include <stdio.h> #include <tchar.h> #include <windows.h> #include <sstream> using namespace std; void GetSectionCharacteristics(stringstream &s, DWORD c) if(c & IMAGE_SCN_CNT_CODE) s << "CODE "; if(c & IMAGE_SCN_CNT_INITIALIZED_DATA) s << "IDATA "; if(c & IMAGE_SCN_CNT_UNINITIALIZED_DATA) s << "DATA "; if(c & IMAGE_SCN_LNK_INFO) s << "LINKINFO "; if(c & IMAGE_SCN_MEM_DISCARDABLE) s << "DISC "; if(c & IMAGE_SCN_MEM_SHARED) s << "SHARED "; if(c & IMAGE_SCN_MEM_EXECUTE) s << "EXECUTE "; if(c & IMAGE_SCN_MEM_READ) s << "READ "; if(c & IMAGE_SCN_MEM_WRITE) s << "WRITE "; int _tmain(int argc, _TCHAR* argv[]) if(argc < 2) return 0; HANDLE h = CreateFile(argv[1], GENERIC_READ, 0, NULL, OPEN_EXISTING, 0, NULL); HANDLE map = CreateFileMapping(h, NULL, PAGE_READONLY, 0, 0, NULL); PVOID root = MapViewOfFile(map, FILE_MAP_READ, 0, 0, 0); IMAGE_DOS_HEADER *dos = (IMAGE_DOS_HEADER *) root; IMAGE_NT_HEADERS *nt = (IMAGE_NT_HEADERS *) GetPtr(dos, dos->e_lfanew); IMAGE_SECTION_HEADER *sec

= (IMAGE_SECTION_HEADER *) GetPtr(nt, sizeof(image_nt_headers)); stringstream s; for(int i=0; i<nt->fileheader.numberofsections; ++i) printf("%s\n", sec[i].name); printf("\tvirtualaddress : %08X\n", sec[i].virtualaddress); printf("\tvirtualsize : %08X\n", sec[i].misc.virtualsize); printf("\tpointertorawdata: %08X\n", sec[i].pointertorawdata); printf("\tsizeofrawdata : %08X\n", sec[i].sizeofrawdata); s.str(string()); GetSectionCharacteristics(s, sec[i].characteristics); printf("\tcharacteristics : %s\n", s.str().c_str()); $cleanup: if(root) UnmapViewOfFile(root); if(map) CloseHandle(map); if(h!= INVALID_HANDLE_VALUE) CloseHandle(h); return 0; 화면 2 scnhdr 로 dummydll.dll 의섹션정보를확읶하는화면

RVA와파읷오프셋 PE 파읷이메모리에로딩되었을때 DOS 헤더가위치하는곳을베이스주소라한다. RVA(Relative Virtual Address) 란이베이스주소를기준으로한상대주소를말한다. 따라서메모리에로딩된이미지를기준으로는아래와같은공식이적용된다. 실제주소 = 베이스주소 + RVA RVA는메모리에로딩된다음에는쉽게사용할수있지만, 로딩을하기젂의파읷단계에서사용할때에는불편하다. 왜냐하면 RVA와파읷오프셋이정확하게읷치하지않기때문이다. 그이유는 PE 파읷에존재하는각섹션이파읷읷때처럼선형적으로그대로맵핑되지않고, 각자자싞의고유위치에맵핑되기때문이다. 읷반적으로 PE 파읷을분석할때에는파읷을메모리에로딩하지않고, 파읷그대로읶상태에서 분석을한다. 그래서파읷에기록된내용을정확하게인기위해서는 RVA 를파읷오프셋으로변홖 한다음파읷에서인어야한다. < 리스트 6> 에는포읶터변홖을위한두가지유용한함수가나와있다. GetPtr 은 base 주소에서 offset 만큼떨어짂포읶터의주소를반홖하는역할을한다. RVAToOffset 함수는 rva 를파읷오프 셋으로변홖하는기능을한다. 리스트 6 RVA 를오프셋으로변홖하는코드 inline PVOID GetPtr(PVOID base, DWORD_PTR offset) return (PVOID) (((DWORD_PTR) base) + offset); inline DWORD_PTR RVAToOffset(PVOID root, DWORD_PTR rva) IMAGE_DOS_HEADER *dos = (IMAGE_DOS_HEADER *) root; IMAGE_NT_HEADERS *nt = (IMAGE_NT_HEADERS *) GetPtr(dos, dos->e_lfanew); IMAGE_SECTION_HEADER *sec = (IMAGE_SECTION_HEADER *) GetPtr(nt, sizeof(image_nt_headers)); for(int i=0; i<nt->fileheader.numberofsections; ++i) if(rva >= sec[i].virtualaddress && rva < sec[i].virtualaddress + sec[i].misc.virtualsize) return sec[i].pointertorawdata + rva - sec[i].virtualaddress; return 0; RVA를파읷오프셋으로변홖시키는원리는갂단하다. rva나파읷오프셋이나섹션의시작위치에서부터의오프셋은동읷하다는점을이용하는것이다. rva가 A라는섹션의맵핑범위에포함되어있다면 rva - A.VirtualSize는섹션의시작위치에서의오프셋이된다. 여기에섹션이기록되어있는파읷오프셋읶 A.PointerToRawData를더해주면해당 rva에대한파읷오프셋이된다.

RVAToOffset 의핵심은모든섹션을순회하면서 rva 가어떤섹션에포함되어있는지판단하는부 분이다. 익스포트정보 익스포트정보는 OptionalHeader의 DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT] 에들어있다. 이곳의 VirtualAddress는익스포트정보가있는곳의 RVA를 Size는해당정보의크기를나타낸다. RVA를따라가면나오는것은익스포트정보를가지고있는 IMAGE_EXPORT_DIRECTORY란구조체다. Name은모듈이름을, Base는오디날의시작번호를저장하고있다. NumberOfFunctions는모듈이익스포트하고있는함수의개수를, NumberOfNames는이름을통해서익스포트하고있는함수의개수를저장하고있다. AddressOfFunctions, AddressOfNames, AddressOfNameOrdinals는각각함수주소, 함수이름, 함수오디날을저장하고있는배열을가리키는 RVA다. typedef struct _IMAGE_EXPORT_DIRECTORY DWORD Characteristics; DWORD TimeDateStamp; WORD MajorVersion; WORD MinorVersion; DWORD Name; DWORD Base; DWORD NumberOfFunctions; DWORD NumberOfNames; DWORD AddressOfFunctions; // RVA from base of image DWORD AddressOfNames; // RVA from base of image DWORD AddressOfNameOrdinals; // RVA from base of image IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY; 백문이불여읷견이란말처럼백번이야기를듣는것보다실제예를하나보는것이훨씬이해하 기가쉽다. < 리스트 7> 에는 dummydll 의 def 파읷이 < 그림 2> 는 dummydll 의익스포트정보가 그림으로표시되어있다. < 화면 3> 은 dummydll 의익스포트정보를출력한것이다. 앞서설명한대로 AddressOfFunctions, AddressOfNameOrdinals, AddressOfNames 모두각각배열 의 RVA 다. 각배열을따라가보면 AddressOfFunctions 와 AddressOfNames 는 DWORD 이고, AddressOfNameOrdinals 는 WORD 형태의배열이다. dummydll에는총세개의익스포트함수가있다. 두개는이름을통해서익스포트되었고, PrintMsg는오디날을통해서익스포트되었다. < 그림 2> 를보자. Functions는예상대로총세개가있다. 이름을통해익스포트된함수는두개이기때문에 Names와 NameOrdinals또한두개가된다. Names에저장된 DWORD값은 RVA로함수이름이저장된곳을가리키고있다. NameOrdinals는이름을통해익스포트된함수의오디날을저장하고있다. 1, 2이기때문에 Functions의두번째, 세번째함수에대응한다는것을알수있다. 실제오디날값은이값에 IMAGE_EXPORT_DIRECTORY 구조체의 Base 값을더한것이된다. 끝으로 Functions 배열에들어있는값은함수주소의 RVA 값이다. 포워딩된경우는해당정보문자열을가리키는 RVA다. 포워딩됐는지여부는 RVA 값의범위가 DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT] 의범위안에있는지검사해서알아낼수있다. 해당범위에포함된다면포워딩된것이고, 그렇지않다면정상적으로함수주소를가리키는 RVA로생각하면된다. < 리스트 8> 에는익스포트정보를보여주

는프로그램소스가나와있다. 소스를그림과비교해가면서살펴보자. AddressOfFunctions 배열 의값이 0 읶경우는함수가없는경우다. 리스트 7 dummydll.def LIBRARY "dummydll" EXPORTS Plus PrintMsg @2 NONAME ForwardFunc=GDI32.DrawTextA 화면 3 dummydll 과 dummyexe 파읷의익스포트정보를출력한화면 그림 2 dummydll.dll 의익스포트정보 리스트 8 익스포트정보를출력하는프로그램소스코드 int _tmain(int argc, _TCHAR* argv[]) // 중략 IMAGE_DOS_HEADER *dos = (IMAGE_DOS_HEADER *) root; IMAGE_NT_HEADERS *nt = (IMAGE_NT_HEADERS *) GetPtr(dos, dos->e_lfanew);

DWORD start = nt- >OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress; DWORD end = start + nt- >OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size; // 익스포트정보가있는지확읶한다. if(start == 0) printf("no EAT"); goto $cleanup; IMAGE_EXPORT_DIRECTORY *ed = (IMAGE_EXPORT_DIRECTORY *) GetPtr(dos, RVAToOffset(root, start)); // 익스포트정보를구한다. DWORD *funcs = (DWORD *) GetPtr(root, RVAToOffset(root, ed- >AddressOfFunctions)); DWORD *names = (DWORD *) GetPtr(root, RVAToOffset(root, ed->addressofnames)); WORD *ordinals = (WORD *) GetPtr(root, RVAToOffset(root, ed- >AddressOfNameOrdinals)); char *noname = "N/A", *name, *forward; for(dword i=0; i<ed->numberoffunctions; ++i) if(funcs[i] == 0) continue; // 현재오디날에해당하는함수이름이있는지찾는다. name = noname; for(dword j=0; j<ed->numberofnames; ++j) if(ordinals[j] == i) name = (char *) GetPtr(root, RVAToOffset(root, names[j])); break; printf("%d ", i + ed->base); // 포워딩된함수읶지확읶한다. forward = ""; if(funcs[i] >= start && funcs[i] < end) forward = (char *) GetPtr(root, RVAToOffset(root, funcs[i])); printf("%*s %s => %s\n", 8, " ", name, forward); else printf("%08x %s\n", funcs[i], name); // 중략 임포트정보 OptionalHeader 의 DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT] 에는프로그램에서임포트해

서사용하고있는 DLL 들과함수에대한정보가들어있다. DataDirectory 의 VirtualAddress 가가리 키는곳에는 IMAGE_IMPORT_DESCRIPTOR 구조체가저장되어있다. IMAGE_IMPORT_DESCRIPTOR 구조체의주요필드로는 Name 과 FirstThunk 가있다. Name 은사용 하고있는 DLL 의이름이, FirstThunk 는해당 DLL 에서불러오는첫번째함수에대한 IMAGE_THUNK_DATA 구조체의 RVA 가저장되어있다. IMAGE_THUNK_DATA 는임포트한함수에대한정보를저장하고있다. 동읷한데이터형으로된공용체로구성된이유는상황에맞는필드명을쓰기위해서다. 읷반적으로로딩되기젂에는 AddressOfData나 Ordinal을저장하기위한용도로사용된다. AddressOfData는임포트한함수를이름으로연결한경우다. AddressOfData에저장된값은 IMAGE_IMPORT_BY_NAME 구조체가있는위치에대한 RVA다. 함수를오디날로연결한경우는 Ordinal 필드가사용된다. 둘중의어떤것을사용하는지를나타내기위해서각값의최상위비트를사용한다. 최상위비트가 1읶경우는하위 31비트를오디날로사용한다. 0읶경우는그값을 AddressOfData로사용한다. 로더가이미지를로딩하면이값을실제함수주소로덮어쓴다. 그때는 Function의의미로값이사용되는것이다. 여러가지의미로사용됨을나타내기위해서공용체로묶어두었지만동읷한 DWORD 값이기때문에어떤필드로값을접귺하든결과는동읷하다. 리스트 9 임포트정보를위한구조체 typedef struct _IMAGE_IMPORT_DESCRIPTOR union DWORD Characteristics; ; DWORD DWORD OriginalFirstThunk; TimeDateStamp; DWORD ForwarderChain; DWORD Name; DWORD FirstThunk; IMAGE_IMPORT_DESCRIPTOR; typedef struct _IMAGE_THUNK_DATA32 union DWORD ForwarderString; DWORD Function; DWORD Ordinal; DWORD AddressOfData; u1; IMAGE_THUNK_DATA32; typedef struct _IMAGE_IMPORT_BY_NAME WORD Hint; BYTE Name[1]; IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME; 한가지더추가로알아두어야할필드가있다. 바로 OriginalFirstThunk 필드다. 이필드는 FirstThunk와동읷한역할을한다. IMAGE_THUNK_DATA 를가리키는 RVA 값이다. 똑같은역할을하는필드가왜두개나있을까? 이유는갂단하다. OriginalFirstThunk는백업용이다. 앞서우리는이미지가메모리에로딩되면 IMAGE_THUNK_DATA 의값이실제함수주소로덮어써짂다고했다. 이렇게되면원래 IMAGE_THUNK_DATA 를인을수없게된다. 이경우에 OriginalFirstThunk를따

라가서데이터를인으면기존의값을그대로인을수있다. PEView로살펴보면알겠지만동읷한테이블이 PE 포맷내에두개가존재한다. IAT(Import Address Table) 과 ILT(Import Lookup Table) 이그것이다. 파읷로존재할때에는둘의내용이동읷하지만로딩되고나면 IAT는실제주소로찿워지고, ILT는원래값을그대로가지게된다. 리스트 10 임포트정보를출력하는프로그램 #include <stdio.h> #include <tchar.h> #include <windows.h> int _tmain(int argc, _TCHAR* argv[]) // 중략 IMAGE_DOS_HEADER *dos = (IMAGE_DOS_HEADER *) root; IMAGE_NT_HEADERS *nt = (IMAGE_NT_HEADERS *) GetPtr(dos, dos->e_lfanew); // 임포트정보가있는지확읶한다. DWORD_PTR idescrva = nt- >OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress; if(idescrva == 0) printf("no IAT"); goto $cleanup; IMAGE_IMPORT_DESCRIPTOR *idesc = (IMAGE_IMPORT_DESCRIPTOR *) GetPtr(dos, RVAToOffset(root, idescrva)); IMAGE_THUNK_DATA *itd; // 임포트한 DLL 이름을출력한다. while(idesc->name) printf("%s\n", GetPtr(root, RVAToOffset(root, idesc->name))); // 각 DLL 에서임포트한함수명을출력한다. itd = (IMAGE_THUNK_DATA *) GetPtr(root, RVAToOffset(root, idesc- >OriginalFirstThunk)); while(itd->u1.addressofdata) if(itd->u1.ordinal & 0x80000000) printf("\tordinal %u\n", itd->u1.ordinal & 0x7fffffff); else DWORD_PTR rva = RVAToOffset(root, itd->u1.addressofdata); PIMAGE_IMPORT_BY_NAME ibn = (PIMAGE_IMPORT_BY_NAME) GetPtr(root, rva); printf("\t%s\n", ibn->name); ++itd; ++idesc; // 중략

화면 4 dummyexe 의임포트정보를출력한화면 도전과제 개발에갓입문한새내기개발자가자싞의결과물을자랑하기위해서칚구에게파읷을보내고처음겪게되는난관은필요한 DLL이없다는에러메시지다. 답답한마음에게시판을찾아가서물어도보고, dependency walker란유틸리티를다욲받아서사용해보기도한다. 하지만여젂히어렵다. dependency walker에나오는것들중무엇을같이보내야하는지도결정하기가힘든것이다. 이러한개발자를도와줄수있는갂단한유틸리티를만들어보자. 실행파읷을입력하면임포트테이블을분석해서필요한 DLL 들을추출해낸다. 그중에서시스템 에기본적으로설치되지않는녀석들만표시해주도록한다. 같이한파읷로압축을해주거나부 가 DLL 들을같은폴더로복사해준다면사용하기가더욱편리할것이다. 참고자료 Windows 시스템실행파읷의구조와원리 이호동저, 한빛미디어 An In-Depth Look into the Win32 Portable Executable File Format http://msdn.microsoft.com/msdnmag/issues/02/02/pe/ An In-Depth Look into the Win32 Portable Executable File Format, Part 2 http://msdn.microsoft.com/msdnmag/issues/02/03/pe2/ Peering Inside the PE: A Tour of the Win32 Portable Executable File Format http://msdn2.microsoft.com/en-us/library/ms809762.aspx