PE 재배치
-
PE 재배치 (리버싱 핵심원리 따라하기)Hack/Reversing 2020. 4. 6. 09:10
PE 재배치 - PE 파일(EXE/DLL/SYS)이 프로세스 가상 메모리에 로딩될 때 PE 헤더의 ImageBase 주소에 로딩됩니다. DLL(SYS) 파일의 경우 해당 ImageBase 위치에 다른 DLL(SYS)파일이 로딩되어 있다면 비어있는 주소공간에 로딩됩니다. * EXE : 00400000, DLL : 10000000, SYS : 10000 * Windows Vista 이후부터는 ASLR 기술로 인하여 EXE파일도 실행될 때마다 랜덤한 주소에 로딩됩니다. - PE 재배치는 하드코딩된 주소를 프로세스에 로딩되어 랜덤하게 생성된 ImageBase주소에 맞추어 변경해주는 작업입니다. - 간혹 악성코드 중에서 정상 파일의 코드를 패치한 후 해당 영역을 가리키는 Relocation Table을 수정하는 ..