눈으로 확인해 보는 ASLR 기능
비스타에는, 적어도 개발자 입장에서의 재미있는 기능들이 ^^ 한가득 있지요. 이번 토픽에서는, 그중에서 보안 강화를 위해 적용이 된
ASLR을 간단하게 테스트해 볼까 합니다. ASLR은 "Address Space Layout Randomization"의 약자인데, 단어에서 짐작할 수 있듯이 운영체제가 시작할 때마다 모듈들의 시작 주소가 다르게 지정이 되는 기능입니다. 이 기능으로 인해, 기존에는 고정된 주소를 기반으로 보안 헛점을 찾았던 모듈들이 비스타부터는 완전히 무력화될 수 있게 된 것입니다.
실제로 DLL/EXE의 로드 주소가 달라지는 지는 VS.NET의 Modules 창을 통해서도 확인이 가능하지만, 아래의 토픽에서 소개되는 간단한 콘솔 응용프로그램으로도 쉽게 확인해 볼 수 있습니다.
ASLR and the new linker
; https://learn.microsoft.com/en-us/archive/blogs/michael_howard/aslr-and-the-new-linker
위의 글은 토픽보다는 댓글에 소개되어진 코드가 재미있습니다.
#include "stdafx.h"
int _tmain(int argc, _TCHAR* argv[])
{
printf("main:\t\t0x%x\n", _tmain);
getchar();
return 0;
}
정말로 간단하지요. ^^ _tmain 함수의 시작 주소를 출력하는 것으로 ASLR 기능을 테스트하고 있습니다. 위의 프로그램을 기존 Windows XP/2000/2003에서 테스트해 보면 다음과 같은 고정된 출력 결과를 확인할 수 있습니다.
main: 0x41100f
main: 0x41100f
main: 0x41100f
하지만, Windows Vista에서 테스트 해보면 아래와 같이 가변적으로 바뀌는 것을 볼 수 있습니다.
main: 0x13c100f
main: 0xe5100f
main: 0x129100f
하다 보니 재미있습니다. ^^ 더욱 재미있는 것은, 그동안 해당 주소들이 부팅 시에만 새롭게 바뀐다고 생각했었는데, 해당 모듈의 폴더를 이동하거나, 삭제/복원 후 다시 실행하는 경우에도 Base Address 값이 달라지는 것도 확인할 수 있었습니다.
[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]