PE ImageBase 주소가 메모리에서 변경되는 이유는 무엇입니까?

Aug 17 2020

악의적 인 32 비트 x86 Windows 실행 파일을 되돌립니다. Ghidra에서 PE 헤더를 정적으로 검토 한 결과 예상대로 ImageBase설정되어 0x400000있습니다. 그러나 바이너리가 메모리에로드 될 때 초기 RVA는 ImageBase파일에 정의 된 것과 일치하지 않습니다 . 예를 들어, 메모리 내 기본 주소가 0x4B0000및로 설정된 것을 보았습니다 0x900000. 이 동작은 깨끗한 VM에서, 그리고 Immunity 및 x32dbg 및 IDA Free로 디버깅 할 때 발생합니다.

내 이해는 Windows 로더가 ImageBase해당 오프셋을 읽고 사용하여 섹션을 가상 주소 공간에 매핑하기 시작한다는 것입니다. 시스템 코드가 로딩을 처리하고 내 시스템이 처음 실행될 때 깨끗하기 때문에 비정상적인 ImageBase것은 조작이 아닌 로더 뉘앙스의 증상 이라고 가정 합니다. 나는이 시나리오를 본 적이 없으며 어떤 통찰력이라도 감사 할 것입니다.

MD5 : 1f63d04ee95ea041f2f6b1e818d94a7c

SHA1 : 823ad6abb05f2393c44cf4b7f1d00e32ac04d1d1


ImageBase0x400000Ghidra에서 PE 헤더를 볼 때 설정 :


ImageBase메모리 매핑 된 PE 헤더 ( 0x4B0000)가 ImageBase정적 파일에 설정된 것과 일치하지 않습니다 .


ImageBaseat을 사용 하여 메모리에 매핑 된 PE 섹션0x4B0000

답변

7 PawełŁukasik Aug 17 2020 at 12:44

이것은 단지 선호하는 주소입니다. Windows는 거의 모든 주소에서 바이너리를로드하고이 새로운 위치로 리베이스 할 수 있습니다.

ImageBase : 메모리에로드 될 때 이미지의 첫 번째 바이트의 기본 주소입니다. 64K의 배수 여야합니다. DLL의 기본값은 0x10000000입니다. Windows CE EXE의 기본값은 0x00010000입니다. Windows NT, Windows 2000, Windows XP, Windows 95, Windows 98 및 Windows Me의 기본값은 0x00400000입니다.

출처 : MSDN