• 23 TEMMUZ 2020
  • Okunma Sayısı: 155

Murat ERDEM - Karaelmas Malware Hunter Team

contact@muraterdem.org

Bir önceki bölümde bilgilerine erişmek istediğimiz PE dosyamızı ayırdığımız bellek alanına yüklemeyi başarmıştık şimdi kolaylıkla parçalayıp ilgili bilgileri alabiliriz.

İlk olarak PE dosya yapısına gene olarak bakalım ve içerisindeki bölümlere bir göz atalım.

Burada bir exe dosyasının genel yapısını görebiliriz yukarıdan aşağı ilk alanımız MZ Header alanı bu alan içerisinde MZ başlığını ve dosya ile ilgili bazı bilgileri saklar. Bir exe dosyasını CFF ile açarsak bu alanın içerisinde sakladığı bilgileri görebiliriz.

Bu alan 64 bayt büyüklüğündedir ve bizim için iki önemli bilgiyi sağlar birisi MZ başlığı bu exe dosyasının olmazsa olmazlarındandır ve hexadecimal karşılığı olarak 0x5A4D değerine eşittir. Bir diğer önemli bilgi ise e_flanew verisidir bu bizim PE imzasının bulunduğu alana erişimimiz için gereklidir. Biz PE file imzasının bulunduğu alana erişmek için Image Base adresine e_lfanew değerini ekleyerek PE imzamıza ulaşabiliriz. Burada Image Base adresi bizim bilgilerini elde etmek için hafıza alanımıza yüklediğimiz PE dosyasının başlangıç adresi yani fileData pointeri ile gösterilmektedir.

Biz bu verileri nasıl elde ederiz konusunda bizim kullanacağımız yapı PIMAGE_DOS_HEADER yapısıdır. Burada ben visual stdio kullandığım için herhangi bir hata almadım ancak siz bir hata alırsanız projenize winnt.h kütüphanesini ekleyebilirsiniz. PIMAGE_DOS_HEADER yapısının tanımlanması aşağıdaki gibidir.

Biz tip dönüşümü ile bu yapıyı kolay bir şekilde dosyamızın MZ Header alanına eşitleyebilir ve içerisindeki verilere erişebiliriz.

Burada aldığımız verileri PIMageHeaderWriter fonksiyonu ile ekrana yazdırdık. Bu fonksiyonlar kodlarımızı daha anlaşılır kılmak açısından önemli olmaktadır. PImageHeaderWriter fonksiyonu aşağıdaki gibidir.

Kodumuzu derleyip çalıştırsak aşağıdaki gibi bir çıktı verecektir. Bu çıktı bizim ilk başta CFF'teki değerler ile aynı olduğunu görebiliriz.

Bu alanın bilgilerini elde etmeyi başardık, PE dosyası genel yapısını gösteren resmimizdeki Real Mode Stub Program alanı ise aslında önemsiz bir alandır ancak bir dosyanın exe dosyası olup olmamasında kullanılabilir. Bu alanın amacı PE dosyamız eski işletim sistemlerinden olan DOS sisteminde çalıştırılmak istenirse PE dosyamız uyumsuzluk nedeniyle çalışmayacağı için bu alan çalışır ve ekrana küçük bir hata mesajı basar. hex kodlarına bakarsak bu mesajı görebiliriz.

(This program cannot be run in DOS mode.)

 

 

TÜM MAKALELER