성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Working with Rust Libraries from C#...
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
[정성태] 저렇게 조각 코드 말고, 실제로 재현이 되는 예제 프로젝트를 압...
[정성태] Modules 창(Ctrl+Shift+U)을 띄워서, 해당 Op...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>C# - PE 파일로부터 IMAGE_COR20_HEADER 및 VTableFixups 테이블 분석</h1> <p> 예전에 만들어 놓은,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C# - 로딩된 Native DLL의 export 함수 목록 출력 ; <a target='tab' href='https://www.sysnet.pe.kr/2/0/12093'>https://www.sysnet.pe.kr/2/0/12093</a> </pre> <br /> PEImage 라이브러리에 .NET 모듈인 경우 담고 있는 IMAGE_COR20_HEADER에 대해 분석을 확장해 보겠습니다. 지난 글에서 <a target='tab' href='https://www.sysnet.pe.kr/2/0/1296'>CLRRuntimeHeader</a>를 구했으니 그로부터 IMAGE_COR20_HEADER를,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > [StructLayout(LayoutKind.Sequential)] public struct IMAGE_COR20_HEADER { public uint cb; public ushort MajorRuntimeVersion; public ushort MinorRuntimeVersion; // Symbol table and startup information public IMAGE_DATA_DIRECTORY MetaData; public uint Flags; public uint EntryPointToken; // Binding information public IMAGE_DATA_DIRECTORY Resources; public IMAGE_DATA_DIRECTORY StrongNameSignature; // Regular fixup and binding information public IMAGE_DATA_DIRECTORY CodeManagerTable; public IMAGE_DATA_DIRECTORY VTableFixups; public IMAGE_DATA_DIRECTORY ExportAddressTableJumps; public IMAGE_DATA_DIRECTORY ManagedNativeHeader; public int RuntimeVersion { get { return this.MajorRuntimeVersion << 16 | this.MinorRuntimeVersion; } } } </pre> <br /> 구하는 메서드를 다음과 같이 PEImage 타입에 추가할 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > public IMAGE_COR20_HEADER GetClrDirectoryHeader() { if (CLRRuntimeHeaderDirectory.VirtualAddress == 0) { return default; } return Read<IMAGE_COR20_HEADER>(CLRRuntimeHeaderDirectory.VirtualAddress); } </pre> <br /> 위의 코드를 적용해 Nuget에 올렸으니 다음과 같은 정도로 사용하면 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > // Install-Package WindowsPE -Version 1.1.4 PEImage img = PEImage.FromLoadedModule("ClassLibrary1.dll"); IMAGE_COR20_HEADER corHeader = img.GetClrDirectoryHeader(); Console.WriteLine($"RuntimeVersion: {corHeader.RuntimeVersion:x}"); </pre> <br /> <hr style='width: 50%' /><br /> <br /> 기왕 해보는 김에 지난 글에 썼던, <br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C# DLL에서 Win32 C/C++처럼 dllexport 함수를 제공하는 방법 - 네 번째 이야기(IL 코드로 직접 구현) ; <a target='tab' href='https://www.sysnet.pe.kr/2/0/12120'>https://www.sysnet.pe.kr/2/0/12120</a> </pre> <br /> 내용 중에 "VT Fix up Table"을,<br /> <br /> ["Figure 18-3. Indirect referencing of v-table entries from the EAT" - 출처: <a target='tab' href='https://books.google.co.kr/books?id=Xv_0AwAAQBAJ&pg=PA353'>https://books.google.co.kr/books?id=Xv_0AwAAQBAJ&pg=P9A353</a>]<br /> <br /> <img alt='il_export_1.png' src='/SysWebRes/bbs/il_export_1.png' /><br /> <br /> 읽는 코드를 작성해 보겠습니다. 이미 설명한 데로 "VT Fix up Table"은 ".vtfixup"을 정의할 때마다 생성됩니다. 그리고 해당 테이블은 다음과 같은 구조로 정의되어 있어,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > [Flags] public enum CorVtableDefines : ushort { // V-table constants COR_VTABLE_32BIT = 0x01, // V-table slots are 32-bits in size. COR_VTABLE_64BIT = 0x02, // V-table slots are 64-bits in size. COR_VTABLE_FROM_UNMANAGED = 0x04, // If set, transition from unmanaged. COR_VTABLE_FROM_UNMANAGED_RETAIN_APPDOMAIN = 0x08, // If set, transition from unmanaged with keeping the current appdomain. COR_VTABLE_CALL_MOST_DERIVED = 0x10, // Call most derived method described by } // https://github.com/shuffle2/IDA-ClrNative/blob/master/ClrNativeLoader.py [StructLayout(LayoutKind.Sequential)] public struct VTableFixups { public uint rva; public ushort Count; public CorVtableDefines Type; public bool Is64bit { get { return (Type & CorVtableDefines.COR_VTABLE_64BIT) == CorVtableDefines.COR_VTABLE_64BIT; } } public int GetItemSize() { return (Is64bit == true) ? sizeof(long) : sizeof(int); } public override string ToString() { return $"RVA: 0x{rva:x}, # of entries: {Count}, Type: 0x{Type:x}"; } } </pre> <br /> 배열로 읽어낼 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > // PEImage img = ...; VTableFixups [] vtfs = img.Reads<VTableFixups>(corHeader.VTableFixups.VirtualAddress, corHeader.VTableFixups.Size); foreach (var vtf in vtfs) { Console.WriteLine(vtf + ", " + vtf.Type.ToString()); } </pre> <br /> 만약 DLL에서 export한 형식이 1개의 Table에 3개의 export 항목을 갖는 경우라면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > .vtfixup [3] int64 fromunmanaged at VT_01 .data VT_01 = int64(0)[3] </pre> <br /> 출력 결과는 다음과 같이 나옵니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > RVA: 0x4000, # of entries: 3, Type: 0x0006, COR_VTABLE_64BIT, COR_VTABLE_FROM_UNMANAGED </pre> <br /> 반면, 3개의 Table에 각각 1개씩의 export 항목을 갖도록 정의한 경우라면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > .vtfixup [1] int32 fromunmanaged at VT_01 .data VT_01 = int32(0) .vtfixup [1] int32 fromunmanaged at VT_02 .data VT_02 = int32(0) .vtfixup [1] int32 fromunmanaged at VT_03 .data VT_03 = int32(0) </pre> <br /> 다음과 같은 출력 결과를 얻게 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > RVA: 0x4000, # of entries: 1, Type: 0x0006, COR_VTABLE_64BIT, COR_VTABLE_FROM_UNMANAGED RVA: 0x4008, # of entries: 1, Type: 0x0006, COR_VTABLE_64BIT, COR_VTABLE_FROM_UNMANAGED RVA: 0x4010, # of entries: 1, Type: 0x0006, COR_VTABLE_64BIT, COR_VTABLE_FROM_UNMANAGED </pre> <br /> 해당 VTableFixups 테이블의 RVA 값은 "Figure 18-3. Indirect referencing of v-table entries from the EAT" 그림에서 "VT Fix up Table"의 항목이 가리키고 있는 "V-Table"의 위치입니다. "V-Table"에 담긴 export 항목의 크기는 VTableFixups.Type 값이 COR_VTABLE_32BIT인 경우 4바이트, COR_VTABLE_64BIT인 경우 8바이트입니다.<br /> <br /> 따라서, "V-Table" 값도 다음과 같은 형식으로 읽어낼 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > foreach (var vtf in vtfs) { Console.WriteLine(vtf + ", " + vtf.Type.ToString()); for (int i = 0; i < vtf.Count; i ++) { int itemSize = vtf.GetItemSize(); // 4 == COR_VTABLE_32BIT, 8 == COR_VTABLE_64BIT uint itemPos = (uint)(vtf.rva + (i * itemSize)); long vtableItem = (itemSize == 8) ? img.Read<long>(itemPos) : img.Read<int>(itemPos); Console.WriteLine($"\tVTable[{i}] {vtableItem:x}"); } } </pre> <br /> 역시 .vtfixup을 정의한 수에 따라 각각 다음과 같은 출력을 얻을 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > /* .vtfixup [3] int64 fromunmanaged at VT_01 .data VT_01 = int64(0)[3] */ RVA: 0x4000, # of entries: 3, Type: 0x0006, COR_VTABLE_64BIT, COR_VTABLE_FROM_UNMANAGED VTable[0] 6000001 VTable[1] 6000002 VTable[2] 6000003 </pre> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > /* .vtfixup [1] int32 fromunmanaged at VT_01 .data VT_01 = int32(0) .vtfixup [1] int32 fromunmanaged at VT_02 .data VT_02 = int32(0) .vtfixup [1] int32 fromunmanaged at VT_03 .data VT_03 = int32(0) */ RVA: 0x4000, # of entries: 1, Type: 0x0006, COR_VTABLE_64BIT, COR_VTABLE_FROM_UNMANAGED VTable[0] 6000001 RVA: 0x4008, # of entries: 1, Type: 0x0006, COR_VTABLE_64BIT, COR_VTABLE_FROM_UNMANAGED VTable[0] 6000002 RVA: 0x4010, # of entries: 1, Type: 0x0006, COR_VTABLE_64BIT, COR_VTABLE_FROM_UNMANAGED VTable[0] 6000003 </pre> <br /> 출력된 결과를 보면 "V-Table"이 DLL 파일에서 담고 있는 값은 export시킨 .NET 메서드의 methodDef 토큰 값이기 때문에 4바이트만 유효합니다. 단지, 나중에 해당 DLL이 메모리에 로드될 때 생성되는 "Marshaling Thunks" 코드의 메모리 주소를 담는 것으로 바뀌기 때문에 플랫폼에 따라 4/8바이트 값을 갖게 되는 것입니다.<br /> <br /> 또한, 컴파일 시 고정되는 VTableFixups 테이블이 ".text" 섹션에 위치하는 것과는 달리 런타임 시에 "Marshaling Thunks" 값으로 바뀌어야 하는 V-Table은 ".sdata" 섹션의 위치하게 됩니다.<br /> <br /> (<a target='tab' href='https://www.sysnet.pe.kr/bbs/DownloadAttachment.aspx?fid=1543&boardid=331301885'>첨부 파일은 이 글에서 실습한 예제 코드를 포함</a>합니다.)<br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1347
(왼쪽의 숫자를 입력해야 합니다.)