디버깅 기술: 115. windbg - 덤프 파일로부터 PID와 환경변수 등의 정보를 구하는 방법
; https://www.sysnet.pe.kr/2/0/11478

.NET Framework: 876. C# - PEB(Process Environment Block)를 통해 로드된 모듈 목록 열람
; https://www.sysnet.pe.kr/2/0/12101

디버깅 기술: 153. C# - PEB를 조작해 로드된 DLL을 숨기는 방법
; https://www.sysnet.pe.kr/2/0/12105

디버깅 기술: 157. C# - PEB.ProcessHeap을 이용해 디버깅 중인지 확인하는 방법
; https://www.sysnet.pe.kr/2/0/12115

C# - PEB(Process Environment Block)를 통해 로드된 모듈 목록 열람

닷넷에서도 ProcessModule을 이용해 로드된 모듈의 목록을 구할 수 있습니다.

foreach (ProcessModule pm in Process.GetCurrentProcess().Modules)
{
    Console.WriteLine(pm.FileName + " at " + pm.BaseAddress.ToString("x"));
}

심심하니까 ^^ 위의 목록을 PEB를 통해서,

PEB structure
; https://learn.microsoft.com/en-us/windows/win32/api/winternl/ns-winternl-peb

Anatomy of the Process Environment Block (PEB) (Windows Internals)
; https://ntopcode.wordpress.com/2018/02/26/anatomy-of-the-process-environment-block-peb-windows-internals/

구해보겠습니다. ^^

---

이를 위해 우선 TEB 및 그것으로부터 PEB를 구하면 됩니다. 이 작업을 대신해 주는 메서드를 만들어 놨으니 그것을 호출해 주고,

// Install-Package KernelStructOffset

IntPtr pebAddress = EnvironmentBlockInfo.GetPebAddress(out IntPtr tebAddress);

_PEB 구조체 정의를 마이크로소프트 공식 문서에 공개된 범위에 따라 다음과 같이 만들어 주면,

// PEB structure
// https://learn.microsoft.com/en-us/windows/win32/api/winternl/ns-winternl-peb

[StructLayout(LayoutKind.Sequential)]
public unsafe struct _PEB
{
    public fixed byte Reserved1[2];
    public byte BeingDebugged;
    public fixed byte Reserved2[1];
    [MarshalAs(UnmanagedType.ByValArray, SizeConst = 2)]
    public IntPtr[] Reserved3;
    public IntPtr Ldr;
    public IntPtr ProcessParameters;
    [MarshalAs(UnmanagedType.ByValArray, SizeConst = 3)]
    public IntPtr[] Reserved4;
    public IntPtr AtlThunkSListPtr;
    public IntPtr Reserved5;
    public uint Reserved6;
    public IntPtr Reserved7;
    public uint Reserved8;
    public uint AtlThunkSListPtr32;
    [MarshalAs(UnmanagedType.ByValArray, SizeConst = 45)]
    public IntPtr[] Reserved9;
    [MarshalAs(UnmanagedType.ByValArray, SizeConst = 96)]
    public byte[] Reserved10;
    public IntPtr PostProcessInitRoutine;
    public fixed byte Reserved11[128];
    public IntPtr Reserved12;
    public uint SessionId;

    public static _PEB Create(IntPtr pebAddress)
    {
        _PEB peb = (_PEB)Marshal.PtrToStructure(pebAddress, typeof(_PEB));
        return peb;
    }
}

간단하게 로드된 이미지의 이중 연결 리스트를 가리키는 Ldr 값을 얻을 수 있습니다.

_PEB peb = _PEB.Create(pebAddress);
Console.WriteLine("Ldr: " + peb.Ldr.ToString("x"));

마찬가지로 Ldr이 가리키는 포인터로부터 _PEB_LDR_DATA 구조체의 값을 채울 수 있고,

// PEB_LDR_DATA structure
// https://learn.microsoft.com/en-us/windows/win32/api/winternl/ns-winternl-peb_ldr_data

[StructLayout(LayoutKind.Sequential)]
public unsafe struct _PEB_LDR_DATA
{
    public fixed byte Reserved1[8];
    [MarshalAs(UnmanagedType.ByValArray, SizeConst = 3)]
    public IntPtr[] Reserved2;
    public _LIST_ENTRY InMemoryOrderModuleList;

    public static _PEB_LDR_DATA Create(IntPtr ldrAddress)
    {
        _PEB_LDR_DATA ldrData = (_PEB_LDR_DATA)Marshal.PtrToStructure(ldrAddress, typeof(_PEB_LDR_DATA));
        return ldrData;
    }
}

[StructLayout(LayoutKind.Sequential)]
public unsafe struct _LDR_DATA_TABLE_ENTRY
{
    [MarshalAs(UnmanagedType.ByValArray, SizeConst = 2)]
    public IntPtr [] Reserved1;
    public _LIST_ENTRY InMemoryOrderLinks;
    [MarshalAs(UnmanagedType.ByValArray, SizeConst = 2)]
    public IntPtr[] Reserved2;
    public IntPtr DllBase;
    public IntPtr EntryPoint;
    public IntPtr SizeOfImage;
    public _UNICODE_STRING FullDllName;
    public fixed byte Reserved4[8];
    [MarshalAs(UnmanagedType.ByValArray, SizeConst = 3)]
    public IntPtr[] Reserved5;
    public IntPtr Reserved6;
    public uint TimeDateStamp;

    public static _LDR_DATA_TABLE_ENTRY Create(IntPtr memoryOrderLink)
    {
        IntPtr head = memoryOrderLink - Marshal.SizeOf(typeof(_LIST_ENTRY));

        _LDR_DATA_TABLE_ENTRY entry = (_LDR_DATA_TABLE_ENTRY)Marshal.PtrToStructure(
            head, typeof(_LDR_DATA_TABLE_ENTRY));

        return entry;
    }
}

따라서 다음과 같이 현재 프로세스에 로드된 이미지 목록을 열람할 수 있습니다.

_PEB_LDR_DATA ldrData = _PEB_LDR_DATA.Create(peb.Ldr);
IntPtr memoryOrderLink = ldrData.InMemoryOrderModuleList.Flink;

Console.WriteLine("InMemoryOrderModuleList: " + memoryOrderLink.ToString("x"));

_LDR_DATA_TABLE_ENTRY item = _LDR_DATA_TABLE_ENTRY.Create(memoryOrderLink);

while (true)
{
    string fullDllName = item.FullDllName.GetText();
    Console.WriteLine(fullDllName);

    if (item.InMemoryOrderLinks.Flink == memoryOrderLink)
    {
        break;
    }

    item = _LDR_DATA_TABLE_ENTRY.Create(item.InMemoryOrderLinks.Flink);
}

출력 결과는 Process.GetCurrentProcess().Modules의 것과 일치합니다.

---

기왕 해보는 김에 지난 글의 코드와 엮어서,

C# - 로딩된 Native DLL의 export 함수 목록 출력
; https://www.sysnet.pe.kr/2/0/12093

다음과 같이 로드 중인 "kernel32.dll"이 export한 함수 목록을 출력해 보는 것도 가능합니다.

// Install-Package WindowsPE

_LDR_DATA_TABLE_ENTRY kernel32 = _LDR_DATA_TABLE_ENTRY.Find(memoryOrderLink, "kernel32.dll");
PEImage kernel32Image = PEImage.ReadFromMemory(kernel32.DllBase, (int)kernel32.SizeOfImage);

foreach (var item in kernel32Image.EnumerateExportFunctions())
{
    Console.WriteLine("\t" + item.Name + " at " + (kernel32.DllBase + (int)item.RvaAddress).ToString("x"));
}

/*
출력 결과: 

        AcquireSRWLockExclusive at 7ffe18eb2c6f
        AcquireSRWLockShared at 7ffe18eb2ca5
        ActivateActCtx at 7ffe18e3e640
        ActivateActCtxWorker at 7ffe18e3a950
        AddAtomA at 7ffe18e41650
        AddAtomW at 7ffe18e30840
        ...[생략]...
*/

실제로 windbg를 이용해 AddAtomA의 0x7ffe18e41650 주소를 역어셈블하면,

0:007> u 7ffe18e41650
KERNEL32!AddAtomA:
00007ffe`18e41650 4c8bc1          mov     r8,rcx
00007ffe`18e41653 4533c9          xor     r9d,r9d
00007ffe`18e41656 b101            mov     cl,1
00007ffe`18e41658 33d2            xor     edx,edx
00007ffe`18e4165a e919f2feff      jmp     KERNEL32!InternalAddAtom (00007ffe`18e30878)
00007ffe`18e4165f cc              int     3

해당 함수의 Body에 대한 코드를 볼 수 있습니다.

---

아래의 코드는 몇몇 도우미 함수를 WindowsPE, KernelStructOffset 라이브러리에 포함시킨 후 이 글의 예제 코드를 정리한 것입니다.

// Install-Package KernelStructOffset
// Install-Package WindowsPE

using KernelStructOffset;
using System;
using System.IO;
using WindowsPE;

namespace ConsoleApp1
{
    class Program
    {
        static void Main(string[] args)
        {
            /*
            foreach (ProcessModule pm in Process.GetCurrentProcess().Modules)
            {
                Console.WriteLine(pm.FileName + " at " + pm.BaseAddress.ToString("x"));
            }

            IntPtr pebAddress = EnvironmentBlockInfo.GetPebAddress(out IntPtr tebAddress);
            Console.WriteLine("_TEB: " + tebAddress.ToString("x"));
            Console.WriteLine("_PEB: " + pebAddress.ToString("x"));
            */

            _PEB peb = EnvironmentBlockInfo.GetPeb();
            _PEB_LDR_DATA ldrData = _PEB_LDR_DATA.Create(peb.Ldr);

            IntPtr memoryOrderLink = ldrData.InMemoryOrderModuleList.Flink;
            Console.WriteLine("InMemoryOrderModuleList: " + memoryOrderLink.ToString("x"));

            _LDR_DATA_TABLE_ENTRY kernel32 = ldrData.Find("kernel32.dll");
            PEImage kernel32Image = PEImage.ReadFromMemory(kernel32.DllBase, (int)kernel32.SizeOfImage);

            foreach (var item in kernel32Image.EnumerateExportFunctions())
            {
                Console.WriteLine("\t" + item.Name + " at " + (kernel32.DllBase + (int)item.RvaAddress).ToString("x"));
            }
        }
    }
}

마지막으로 주의할 점이 하나 있는데, 이중 연결 리스트에 대한 thread-safe한 동기화 과정을 거치지 않으므로 운이 나쁘다면 링크 열거 시 잘못된 포인터 참조가 발생할 여지가 있습니다. 따라서 그냥 지식으로만 ^^ 알아두시고 일반적인 프로그램이라면 Process.GetCurrentProcess().Modules을 사용하는 것이 바람직합니다.

---

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 1/5/2020]
[최종 수정일: 6/23/2023]


이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com