PE 파일 구조

01. PE (Portable Executable)

• Microsoft의 운영 체제 Window OS에서 지원되는 실행 파일의 구조
• 파일이 다른 곳으로 옮겨져도 실행 가능하도록 만든 포맷으로 다양한 운영체제에서의 이식성을 보여준다는 의미에서 Portable Executable이라고 불림
• Window Loader가 코드를 관리하는 데 필요한 정보를 캡슐화한 데이터 구조체
• 코드 정보, 애플리케이션 유형, 필요한 라이브러리 함수, 메모리 공간 요구사항 정보 포함
• 참조할 DLL, API import 테이블, 자원 관리 데이터, TLS 데이터 포함

1.1 PE 파일 종류

• 실행 파일 계열 : EXE, SCR(Screen Saver)
• 라이브러리 계열 : DLL, OCX(Active X), CPL, DRV
• 드라이버 계열: SYS, VXD
• 오브젝트 파일 계열 : OBJ

1.2 분석 도구

• PEview
• PEiD : header를 간단하게 보여줌.
• exeinfo
• pestudio
• Stud_PE
• prefram.ph

1.3 PE 파일 생성 과정

Compile

• 소스 코드를 컴파일 하면 헤더 파일과 소스 파일을 합쳐 어셈블리 코드가 만들어 진다.
• 이 과정에서 Object 파일이 만들어지며 기계어 코드, 심볼 테이블, 데이터 섹션 정보를 담고 있다.

Linking

• 다수의 Object 파일을 하나의 실행 파일로 결합한다.
• 필요한 라이브러리 파일(.lib, .dll)을 참조하여 프로그램이 필요로 하는 외부 함수나 데이터를 연결한다.
• 프로그램의 엔트리 포인트가 결정되고, 프로그램 내의 심볼들이 주소로 변환된다.

PE file

• 링킹 과정이 완료되면, 링커는 PE 파일의 구조를 생성한다.

 

 

02. PE 파일 구조

 

PE 파일은 크게 PE 헤더와 섹션 부분으로 구성된다. PE 헤더는 파일을 실행하기 위한 전반적인 정보가 구조체 형식으로 저장되어 있고, 섹션 부분은 파일의 실제 코드,. 데이터, 리소스 등의 내용이 존재한다.

 

2.1 DOS Header

• “4D 5A”로 시작하며 PE 구조를 가지고 있는 파일인지 판단하는데 사용된다.
• 시작 부분부터 64byte까지 Image Dos Header 부분이다.

typedef struct _IMAGE_DOS_HEADER {
    WORD e_magic;
    WORD e_cblp;
    WORD e_cp;
    WORD e_crlc;
    WORD e_cparhdr;
    WORD e_minalloc;
    WORD e_maxalloc;
    WORD e_ss;
    WORD e_sp;
    WORD e_csum;
    WORD e_ip;
    WORD e_cs;
    WORD e_lfarlc;
    WORD e_ovno;
    WORD e_res[4];
    WORD e_oemid;
    WORD e_oeminfo;
    WORD e_res2[10];
    LONG e_lfanew;
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

• Image Dos Header 에 들어갈 내용은 WinNT.H 헤더 파일에 구조체의 형식으로 설정되어 있다.
• 이 구조체의 크기를 계산하며 64byte 이다.
• e_magic : PE 구조를 가진 파일인지 확인할 때 . 프로그램을 실행하면 가장 먼저 이 부분의 2Byte를 읽어온 후 “4D 5A”가 맞는지 확인한다.
• e_lfanew : Image_NT_Header의 시작 주소를 나타낸다. 파일에 따라 다른 값이 저장된다.

 

2.2 DOS Stub

• DOS 모드에서 실행되었을 때 실행할 내용을 저장
• DOS 모드로 실행되지 않는 경우 “This program cannot be run in DOS mode”라는 메시지를 나타낸다.

 

2.3 NT Header

IMAGE_NT_HEADERS

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER OptionalHeader;
} IMAGE_NT_HEADERS, *PIMAGE_NT_HEADERS;

• “50 45 00 00”(PE..) 으로 시작하는 지점이 NT_Header의 시작 부분이다.
• WinNT.H의 구조체에서 e_lfanew에 저장된 주소값이 가르키는 부분이 이 부분이다.
• 동작하는 CPU, 섹션의 수, 생성 시간 등 파일의 실행에 필요한 주요 정보들을 저장한다.

IMAGE_FILE_HEADER

typedef struct _IMAGE_FILE_HEADER {
    WORD  Machine;
    WORD  NumberOfSections;
    DWORD TimeDateStamp;
    DWORD PointerToSymbolTable;
    DWORD NumberOfSymbols;
    WORD  SizeOfOptionalHeader;
    WORD  Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

변수명	설명
Machine	파일이 동작할 수 있는 CPU 종류
Number Of Sections	이 파일이 가진 세션의 개수를 알림
일반적으로 .text, .rdata, .data, .rsrc 4개 섹션이 존재
Time Data Stamp	obj → PE 파일을 만든 시간을 알림
Size Of Optional Header	MAGE_OPTIONAL_HEADER32의 구조체 크기를 알림.
운영체제마다 크기가 다를 수 있어 PE로더에서는 이 값을 먼저 확인
Characteristics	현재 파일 형식

IMAGE_OPTIONAL_HEADER

typedef struct _IMAGE_OPTIONAL_HEADER {
    WORD   Magic;
    BYTE   MajorLinkerVersion;
    BYTE   MinorLinkerVersion;
    DWORD  SizeOfCode;
    DWORD  SizeOfInitializedData;
    DWORD  SizeOfUninitializedData;
    DWORD  AddressOfEntryPoint;
    DWORD  BaseOfCode;
    DWORD  BaseOfData;
    DWORD  ImageBase;
    DWORD  SectionAlignment;
    DWORD  FileAlignment;
    WORD   MajorOperatingSystemVersion;
    WORD   MinorOperatingSystemVersion;
    WORD   MajorImageVersion;
    WORD   MinorImageVersion;
    WORD   MajorSubsystemVersion;
    WORD   MinorSubsystemVersion;
    DWORD  Win32VersionValue;
    DWORD  SizeOfImage;
    DWORD  SizeOfHeaders;
    DWORD  CheckSum;
    WORD   Subsystem;
    WORD   DllCharacteristics;
    DWORD  SizeOfStackReserve;
    DWORD  SizeOfStackCommit;
    DWORD  SizeOfHeapReserve;
    DWORD  SizeOfHeapCommit;
    DWORD  LoaderFlags;
    DWORD  NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

변수명	설명
Magic	32bit → 0x10B
64bit → 0x20B
Major Linker Version Minor Linker Version	사용한 컴파일러 버전
Size Of Code	코드 양의 전체 크기 - 악성코드 : 이 값을 참고하여 자신의 코드를 복제할 위치 기준을 잡음 - 솔루션 : 코드 섹션의 무결성 검사
Address Of Entry Point	파일이 메모리에서 시작되는 지점.
Base Of Code	실행 코드 위치. - ImageBase 와 BaseOfCode 를 더한 값부터 코드 시작
Image Base	로드할 가상 메모리 주소
Section Alignment File Alignment	각 세션을 정렬하기 위한 정렬 단위 기본값 0x1000
Size Of Image	EXE/DLL이 메모리에 로딩됐을 때 전체크기
Size Of Headers	PE헤더의 크기를 알림 기본값 0x1000
IMAGE_DATA_DIRECTORY 구조체	- VirtualAddress와 Size 필드 - Export, Import, Rsrc 디렉터리와 IAT 등의 가상 주소와 크기 정보

 

 

2.4 SECTION_HEADER

각 세션에 대한 이름, 시작 주소, 사이즈 등의 정보를 포함하는 구조체이다.

typedef struct _IMAGE_SECTION_HEADER {
    BYTE  Name[IMAGE_SIZEOF_SHORT_NAME]; 
    union {
        DWORD PhysicalAddress;
        DWORD VirtualSize;
    } Misc;
    DWORD VirtualAddress;               
    DWORD SizeOfRawData;                 
    DWORD PointerToRawData;              
    DWORD PointerToRelocations;        
    DWORD PointerToLinenumbers;         
    WORD  NumberOfRelocations;           
    WORD  NumberOfLinenumbers;           
    DWORD Characteristics;              
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

변수명	설명
Name	섹션의 이름(예: .text, .data, .rsrc 등)
Virtual Size	섹션의 크기
Virtual Address	섹션이 메모리에 로드될 때의 주소.
Size Of Raw Data	파일 내에서 섹션이 차지하는 크기.
Pointer To Raw Data	파일 내에서 섹션 데이터가 시작되는 위치

 

2.5 Section

PE파일 에서 섹션은 프로그램의 실제 내용을 담고 있는 블록. 각 섹션에서 담고 있는 정보들은 아래와 같다.

Section 종류

섹션 이름 설명

섹션	이름	설명
.text	코드 섹션	- 프로그램을 실행하기 위한 코드를 담는 섹션 - CPU의 명령 포인터가 되는 IP 레지스터는 이 섹션 내에 존재하는 지를 가짐 - 32비트의 경우 VC++ 7.0부터 실행 기능을 가진 동시에 초기화되지 않은 데이터를 담은 .text 섹션이 존재
.data	데이터 섹션	- 초기화된 전역 변수들을 담고 있는 읽고 쓰기가 가능한 섹션 - 이전에는 초기화되지 않은 데이터를 위한 데이터 섹션으로 .bss 섹션을 제공. 가상 메모리에 매핑될 때 보통 .data 섹션에 병합 - 64비트에서는 PE 파일에서부터 .bss 섹션과 .data 섹션에 병합
.rdata	읽기 전용 데이터 섹션	- 문자열 상수나 C++ 가상 함수 테이블 등을 배치 - 코드 상에 참조하는 읽기 전용 데이터(.edata, .debug 등)도 이 섹션에 병합
.reloc	기준 재배치 섹션	- 실행 파일에 대한 기준 재배치 정보를 담고 있는 섹션
.edata	내보내기(export) 섹션	- 내보낼 함수에 대한 정보를 담고 있는 섹션 - .rdata에 병합되기 때문에 DLL에서 별도의 세션이 존재하지 않음
.idata	가져오기(import) 섹션	- 가져올 dll과 그 함수 및 변수에 대한 정보를 담고 있는 섹션 - IAT(Import Address Table)이 존재 - .rdata에 병합
.didat	지연 로드 섹션	- 지연 로딩(Delay-Loading)을 위한 섹션
.tls	TLS 섹션	_declspec(thread) 지시어와 함께 선언되는 스레드 지역 저장소(Thread Local Storage)를 위한 섹션
.rsrc	리소스 섹션	대화상자, 아이콘, 커서, 버전 정보 등의 윈도우 PE 파일이 담고 있는 리소스 관련 데이터들이 배치
.debug	디버깅 섹션	- 디버깅 정보를 포함 - MS는 오래전부터 이 섹션에 디버깅 관련 기초 정보만을 담고, 실제 정보는 PDB 파일에 별도로 보관

 

섹션 이름의 경우 권장값이므로 섹션 이름으로 내용을 판단하면 안된다. 특히, 릴리즈 옵션 같은 경우, 섹션들이 합쳐져서 하나의 섹션으로 존재하는 경우도 있기 때문에 섹션 이름을 이용해서 찾는 것보다 IMAGE_NT_HEADER에 있는 Data Directory의 값을 참조해서 찾도록 해야 한다.

 

 

참조

https://mocharoll.tistory.com/15

PE Format - Win32 apps

pe 구조 분석