리버싱 (Reverse engineering)

1.리버싱

​

- 역공학 분석 : 실행 파일을 역으로 분석하는 행위

- 정상적인 리버싱 : 프로그램 분석 , 업데이트 , 패치 , 악성 코드 분석

- 악의적인 리버싱 : 프로그램 크랙 , 무단 사용 , 시리얼 키 우회 , 악성 코드 제작/유포

- 실행 파일 (Excutable File)

- 명령어에 의해서 특정 작업을 수행할 수 있도록 생성된 파일 ( Code , Data 포함되어 있음 )

- 각각의 운영체제마다 실행 파일 형식은 다음과 같다.

- Windows - PE ( Portable Exectable )

- Linux - ELF ( Excutable & Linkable Format )

- MAC - Mach-O ( Mach Object File Format )

​

​

2.프로그램 & 프로세스 & 프로세서 & 쓰레드

​

- 프로그램 : 작업을 수행하기 위해서 명령어들이 포함되어 있는 실행 파일

- 프로세스 : 작업을 수행하기 위해서 메모리에 올라간 프로그램 단위

- 프로세서 : 메모리에 올라간 프로세스를 처리하는 CPU

- 쓰레드 : 생성된 프로세스에서 처리 및 흐름 과정을 담당하는 프로세스 안에 또 다른 프로세스

​

​

​

3.PE 파일

​

- Windows에서 사용하는 실행 파일 형식

- 원본 디렉터리 뿐만 아니라 다른 디렉터리로 이동해도 실행이 가능한 특징을 갖고 있다

- 별도의 프로그램 설치 및 관계된 파일이 없어도 윈도우에서 실행 가능

- PE 파일 이해 중요성

- 프로세스 적재를 위한 정보 분석

- API 호출을 위한 IAT 분석

- 코드 사이즈/섹션 위치 분석

- 패킹/언패킹 유무 분석

- 악성 코드 분석

​

​

​

4.가상 메모리

​

- 프로세스와 메모리 공간을 관리하기 위해서 운영체제가 사용하는 논리적인 메모리

- 모든 프로세스는 자신만의 가상 메모리를 갖고 있다 , 32bit / 64bit 프로세스 각각 4G / 8G 곤간

- 운영 체제 규칙에 의해서 실제 물리 메모리 주소와 가상 주소를 매핑한 이후 해당 영역 사용

- 이때, 서로 다른 프로세스 가상 주소가 물리 메모리 주소로 매핑될때 중첩 및 침범되지 않는다

​

​

5. 상대 주소 & 절대 주소

​

1) 상대 주소

​

-물리 주소

-고유 주소가 아니며 특정 영역에서 절대적인 주소를 지정한다

​

2) 절대 주소

​

-가상 주소

-메모리의 위치를 식별하는 메모리 공유 주소

​

물리주소

0x0 0x1 0x2 0x3 0x4 0x5 0x6 0x7 0x8 0x9

|----사용중---| |----사용중----|

​

가상 주소 위 물리주소의 빈 공간을 가상으로 매핑해서 사용함

0x0 0x1 0x2 0x3 0x4 0x5 0x6 0x7 0x8 0x9

0x2 0x3 0x4 0x7 0x8 0x9

​

6. RVA&VA

​

1) RVA (Relative Virtual Adress)

​

-PE 파일이 가상 주소공간 내에 로드된 이후 , 이미지의 시작 주소에 대한 상대 주소

-PE 시작 주소에서 어느정도 떨어져 있는지를 측정할 수 있다.

-RVA = VA - ImageBase 주소

​

2) VA(Virtual Address)

​

- 가상 메모리 주소 공간에 프로세스의 절대 주소

- VA= ImageBase 주소 + RVA 주소

​

Ex) 513호

​

- Imagebase 5층

- RVA 13호

- VA 513호

​

​

7. ASRL

​

- win7부터 지원하는 메모리 보호 기법

- 프로그램이 메모리에 로드되는 주소를 랜덤으로 변경하는 기능

​

​

8. API

​

- Application Programming interface

- 운영체제, 프로그램 언어가 응용 프로그램에 사용할 수 있도록 기능을 제공하는 인터페이스

- MSDN 문서 참조

​

9. 컴파일

​

- 모든 헤더와 소스 파일 내용을 합쳐서 하나의 기계어 코드를 생성하는 기능

​

10. DLL

​

- Dynamic Linked Library

- 여러 프로그램에서 동시에 사용할 수 있는 코드와 데이터를 포함한 라이브러리

- 디스크/메모리에 도드되는 중복된 코드를 최소화, 리소스 사용 최소화, 다른 프로그램 성능 향상

​

11. Static Linking & Dynamic Linking

​

1) Static Linking

​

- 컴파일 진행시 함수가 실행 파일에 연결되는 방식

- 실행 파일에 함수의 코드가 복사되므로 파일 크기가 증가된다.

- 실행 파일은 완전한 단독 실행 파일로 생성된다.

- 그렇기 때문에 컴파일이 끝나면 라이브러리 파일

​

IE A기능, B기능, C기능, D기능

Chrome A기능, B기능, C기능, D기능

Firefox A기능, B기능, C기능, D기능

​

2) Dynamic Linking

​

- 프로그램 실행시 함수가 연결된다.

- 실행 파일에 호출할 함수의 정보만 포함하고 실제 함수 코드 정보는 포함되지 않는다.

- 그렇기 때문에 파일크기가 증가되지 않는다

- 단, 실행 파일에서 사용할 함수를 갖고 있는 DLL 파일이 꼭 있어야 한다

​

32

IE A기능, B기능, C기능, D기능

Chrome A기능, B기능, C기능, D기능

Firefox A기능, B기능, C기능, D기능

​

12. DLL 로드 방식

​

1) 명시적 링킹

​

- 프로그램에서 필요한 시점에 DLL/함수 정보를 로드하고 사용한 이후 해제한다.

- 다음과 같은 3개의 함수를 이용하여 DLL을 로드한다

​

LoadLibrary() 필요한 DLL을 프로세스 가상 메모리에 매핑/로드하는 함수 (DLL불러옴)

GetProcAddress() DLL 함수의 포인터/주소를 휙득하는 함수 (DLL으로부터 함수를 불러옴)

FreeLibrary() 프로세스 가상 메모리에서 DLL을 반환/언로드하는 함수 (DLL 해제함)

​

- LoadLibrary 함수를 이용하여 프로세스 메모리 공간에 동적으로 DLL을 로드한다

- 그리고 GetProcAddress() 함수를 이용하여 DLL 에서 사용하고자 하는 함수의 포인터/ 주소를 흭득한다

- 흭득한 함수 포인터/ 주소로 원하는 함수를 호출하고, 사용 이후에는 FreeLibrary() 함수를 이용하여 DLL을 언로드한다

​

2) 암시적 링킹

​

​

- 실행 파일 자체에서 사용할 DLL과 함수 정보를 포함한 이후 프로그램 실행시 로드한다.

- 즉, 프로그램이 시작되면서 해당 DLL을 바로 로드하는 방식이다.

- PE 로더가 PE 파일 안에 있는 함수 내용/목록을 확인하여 DLL 파일을 메모리에 로드한다.

​

13. OllyDbg (프로그램)

​

- 프로그램을 분석할때 사용하는 디버거

- 선수 지식: 어셈블리어, PE 파일 구조, DLL 기본 개념, 메모리 주소 관련