Sh4n3e

오늘은 PE(Portable Excutable) 파일 구조에 대해 설명하는 2번째 시간입니다. Import Table에 대해서 설명 드리겠습니다. Import Table은 PE파일이 실행될 때 외부로부터 가져와서 사용하는 함수들(DLL)의 목록이 들어있는 Table입니다. DLL은 함수를 Export하고 EXE파일이 그 DLL로부터 함수를 Import합니다. Export된 함수를 가져온다는 것은 결국 해당 DLL과 사용하는 함수에 대한 정보를 어딘가에 저장한다는 것을 의미합니다. 사용하고자 하는 Export 함수들과 그 DLL에 대한 정보를 저장하고 있는 곳이 바로 Import Table인 것입니다. 좀 더 쉬운 이해를 위해 그림을 통해 설명하겠습니다. 우선 IMAGE_DIRECTORY_ENTRY_IMP..

[지능형 지속 위협(Advanced Persistant Threat)] 정의 : 장기간에 걸친 목표와 전략을 가지고 정보전에 참여하는 수진이 매우 높은 적1) 미국 보안업체 MANDIENT 사의 정의=> 미국 정부 및 민간 기업 컴퓨터를 대상으로 체계적으로 공격하는 수준이 높고 목표의식을 가진 상호협력하는 공격자들의 그룹 2) Frankie Li 등의 학자에 의한 정의=> 특정한 목표 컴퓨터나 전체 네트워크를 대상으로 정교하고 체계적으로 공격하는 목표의식을 가진, 상호협력하는 그룹에 의해 실행되는 사이버 공격 3) 미국국립기술연구소(NIST)에 의한 정의=> 고도의 전문 지식과 충분한 리소스를 가진 공격자가 복수의 공격 요소(사이버 공격, 물리적 공격, 사기 등)를 사용해서 목적 달성의 기회를 만들기 위..

오늘은 PE(Portable Executable) 파일 구조에 대해 설명해 보겠습니다. 우선은 구조에 들어가기 앞서 간단한 정의를 집어보고 넘어가겠습니다. PE 파일이란? Portable Executable 파일의 약자로 명령(Operation Codes, OP Codes)에 따라 지시된 작업을 수행하도록 작성된 파일로 실행코드, 전역데이터, Import/Export 함수정보, 리소스 데이터 등을 포함하고 있는 파일이라고 할 수 있습니다. 이 파일은 여러 개의 구조체로 엮여 있으며, 윈도우 커널의 PE로더를 통해 실행가능한 파일로 판단되었을 때, 메모리에 프로그램을 올림으로써 실행할 수 있게 됩니다. 이 구조를 가지고있는 파일의 종류로는 실행파일(EXE), 라이브러리(DLL, LIB), 드라이버(SYS)..