SEH, TEB(TIB), PEB와 FS 레지스터를 통해 접근하는 방법

SEH 함수

• 예외 처리기는 4개의 파라미터를 입력 받고, 열거형(enum) EXCEPTION_DISPOSITION을 리턴

EXCEPTION_DISPOSITION _except_handler
(
    EXCEPTION_RECORD		        *pRecord,
    EXCEPTION_REGISTRATION_RECORD	*pFrame,
    CONTEXT				*pContext,
    PVOID				pValue
);

 

 

• SEH 함수 첫 번째 파라미터 EXCEPTION_RECORD

typedef struct _EXCEPTION_RECORD {
    DWORD                    ExceptionCode;	//예외 코드
    DWORD                    ExceptionFlags;
    struct _EXCEPTION_RECORD *ExceptionRecord;
    PVOID                    ExceptionAddress;	//예외 발생 주소
    DWORD                    NumberParameters;
    ULONG_PTR                ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS];
} EXCEPTION_RECORD;

• ExceptionCode: 발생한 예외의 종류
• ExceptionAddress: 예외가 발생한 코드 주소

 

 

• SEH 함수 세 번째 파라미터 CONTEXT

typedef struct _WOW64_CONTEXT {
    DWORD                    ContextFlags;
  
    DWORD                    Dr0;
    DWORD                    Dr1;
    DWORD                    Dr2;
    DWORD                    Dr3;
    DWORD                    Dr6;
    DWORD                    Dr7;
  
    WOW64_FLOATING_SAVE_AREA FloatSave;
  
    DWORD                    SegGs;
    DWORD                    SegFs;
    DWORD                    SegEs;
    DWORD                    SegDs;
  
    DWORD                    Edi;
    DWORD                    Esi;
    DWORD                    Ebx;
    DWORD                    Edx;
    DWORD                    Ecx;
    DWORD                    Eax;
  
    DWORD                    Ebp;
    DWORD                    Eip;
    DWORD                    SegCs;
    DWORD                    EFlags;
    DWORD                    Esp;
    DWORD                    SegSs;
  
    BYTE                     ExtendedRegisters[WOW64_MAXIMUM_SUPPORTED_EXTENSION];
} WOW64_CONTEXT;

• CONTEXT 구조체는 CPU 레지스터 값을 백업하는 용도로 사용
  
  • 멀티 스레드 환경 때문
  • 스레드는 내부 CONTEXT 구조체를 하나씩 가지고 있고 CPU가 다른 스레드 실행을 위해 떠날 때 현재 스레드의 레지스터 값을 CONTEXT에 백업, 그 후 CPU가 다시 예전 스레드를 실행하러 오면 그 스레드의 CONTEXT에 저장된 레지스터 값들을 실제 CPU 레지스터에 덮어쓰고 실행
• 예외가 발생하면 스레드는 실행이 중지되고 SEH가 실행되는데, 이때 OS는 예외 처리기 파라미터에 해당 스레드의 CONTEXT 구조체 포인터를 넘겨줌
• CONTEXT.Eip
  • 예외 처리기에서는 파라미터로 넘어온 CONTEXT.Eip를 다른 주소로 설정한 후 리턴, 아까 중지된 스레드는 새로 설정된 EIP 주소의 코드를 실행
    → 안티 디버깅에 자주 사용되는 특징

 

 

• SEH 함수 리턴 값 EXCEPTION_DISPOSITION

typedef enum _EXCEPTION_DISPOSITION
{
    ExceptionContinueExecution = 0,	//예외 코드 재실행
    ExceptionContinueSearch = 1,		//다음 예외 처리기 실행
    ExceptionNestedException = 2,		//OS 내부에서 사용됨
    ExceptionCollidedUnwind = 3		//OS 내부에서 사용됨
} EXCEPTION_DISPOSITION;

• ExceptionContinueExecution(0): 예외가 발생한 코드부터 재실행
• ExceptionContinueSearch(1): 예외를 처리할 수 없을 때 SEH 체인에서 다음 예외 처리기에서 처리하도록 함

 

 

 

SEH 체인에 접근

• TEB 구조체의 NtTib 멤버 따라가기
• TEB는 FS 세그먼트 레지스터가 가리키는 세그먼트 메모리의 시작 주소에 위치
• TEB.NtTib.ExceptionList = FS:[0]

 

 

TEB, Thread Environment Block

• 프로세스에서 실행되는 스레드에 대한 정보를 담고 있는 구조체
• TIB(Thread Information Block)이라고도 함
• 스레드별 TEB 구조체가 하나씩 할당됨
• TEB 구조체 (msdn)

typedef struct _TEB {
    PVOID Reserved1[12];
    PPEB  ProcessEnvironmentBlock;
    PVOID Reserved2[399];
    BYTE  Reserved3[1952];
    PVOID TlsSlots[64];
    BYTE  Reserved4[8];
    PVOID Reserved5[26];
    PVOID ReservedForOle;
    PVOID Reserved6[4];
    PVOID TlsExpansionSlots;
} TEB, *PTEB;

 

• TEB 구조체 - Windows 7 (WinDbg)

+0x000 NtTib				: _NT_TIB
+0x01c EnvironmentPointer		: Ptr32 Void
+0x020 ClientId				: _CLIENT_ID
+0x028 ActiveRpcHandle			: Ptr32 Void
+0x02c ThreadLocalStoragePointer	: Ptr32 _PEB
+0x030 ProcessEnvironmentBlock		: Ptr32 _PEB
			...

 

• TEB 구조체 주요 멤버
  • ProcessEnvironmentBlock
    • PEB 구조체의 포인터
  • NtTib
    • _NT_TIB 구조체
      • ExceptionList: _EXCEPTION_REGISTRATION_RECORD 구조체 연결 리스트를 가리키고 있음
      • Self: NT_TIB 구조체의 셀프 포인터. 즉, TEB 구조체 포인터

typedef struct _NT_TIB {
    struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList;
    PVOID StackBase;
    PVOID StackLimit;
    PVOID SubSystemTib;
    union {
        PVOID FiberData;
        DWORD Version;
    };
    PVOID ArbitraryUserPointer;
    struct _NT_TIB *Self;
} NT_TIB;
typedef NT_TIB *PNT_TIB;

 

 

 

PEB, Process Environment Block

• 프로세스 정보를 담고 있는 구조체
• PEB 구조체 (msdn)

typedef struct _PEB {
    BYTE                          Reserved1[2];
    BYTE                          BeingDebugged;
    BYTE                          Reserved2[1];
    PVOID                         Reserved3[2];
    PPEB_LDR_DATA                 Ldr;
    PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;
    PVOID                         Reserved4[3];
    PVOID                         AtlThunkSListPtr;
    PVOID                         Reserved5;
    ULONG                         Reserved6;
    PVOID                         Reserved7;
    ULONG                         Reserved8;
    ULONG                         AtlThunkSListPtr32;
    PVOID                         Reserved9[45];
    BYTE                          Reserved10[96];
    PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;
    BYTE                          Reserved11[128];
    PVOID                         Reserved12[1];
    ULONG                         SessionId;
} PEB, *PPEB;

 

 

• PEB 구조체 - Windows 7 (WinDbg)

+000 InheritedAddressSpace		: UChar
+001 ReadImageFileExecOptions		: Uchar
+002 BeingDebugged			: Uchar
+003 BitField				: UChar
+003 ImageUsesLargePages		: Pos 0, 1 Bit
			...
+008 ImageBaseAddress			: UChar
			...
+00c Ldr				: Ptr32 _PEB_LDR_DATA
			...
+018 ProcessHeap			: Ptr32 Void
			...
+068 NtGlobalFlag			: Uint4B
			...

 

• PEB 구조체 주요 멤버
  • PEB.BeingDebugged
    • 현재 프로세스가 디버깅 당하는지 판단
    • IsDebuggerPresent 함수가 참조하는 정보
    • 디버깅 중이면 1, 아니면 0을 리턴
    • 일반 응용 프로그램 개발에는 잘 사용되지 않고, 주로 안티 디버깅에 이용
  • PEB.ImageBaseAddress
    • 프로세스의 ImageBase를 표시
    • GetMoaduleHandle 함수가 참조하는 정보
      * GetMoaduleHandle: 프로세스의 ImageBase를 얻어내는 API
  • PEB.Ldr
    • _PEB_LDR_DATA 구조체의 포인터
    • 현재 프로세스에서 로드된 모듈들의 정보를 담고 있음
    • 프로세스에 로딩된 모듈(DLL)의 로딩 베이스 주소를 구할 수 있기 때문!
      • _PEB_LDR_DATA 구조체의 _LIST_ENTRY 타입의 멤버(InLoadOrderModuleList, InMemoryOrderModuleList, InInitializationOrderModuleList)를 통해 알아낼 수 있음
      • _LIST_ENTRY는 양방향 연결 리스트 메커니즘을 제공하는데, 이 연결 리스트에는 _LDR_DATA_TABLE_ENTRY 구조체 정보가 저장.
      • 프로세스에 로딩된 DLL 모듈마다 _LDR_DATA_TABLE_ENTRY 구조체가 하나씩 생성되고, 이들은 _LIST_ENTRY 양방향 연결 리스트로 연결되어 있기 때문에 DLL 모듈의 로딩 베이스 주소를 구할 수 있게 됨
  • PEB.ProcessHeap, PEB.NtGlobalFlag
    • 프로세스가 디버깅 중이라면 특정한 값을 가짐
    • 주로 안티 디버깅에 이용

 

 

 

 

FS 레지스터를 통한 TEB, PEB, SEH 시작 주소

• FS 세그먼트 레지스터: 현재 스레드의 TEB를 지시
• FS 레지스터의 크기: 16비트
  • 사실, IA32 시스템의 프로세스 가상 메모리 크기는 4GB이므로 32비트 크기의 포인터를 이용해야 전체 메모리 공간에 접근 가능
  • 그러나 FS 레지스터는 직접 TEB 주소를 가리키는 것이 아니라, 실제 TEB 주소를 가지고 있는 Segment Descriptor Table의 Index 값을 가지고 있음
    (Segment Descriptor Table은 커널 메모리 영역에 존재하며, 그 주소는 특수 레지스터 GDTR(Global Descriptor Table Register)에 저장되어 있음)
  • 그래서 "Segment Selector"라고도 한다.
• TEB 시작 주소
  • FS:[0x18] = TEB.NtTib.Self = address of TEB(TIB) = FS:0
  • Self의 위치가 TEB 구조체 시작으로부터 018 옵셋 떨어진 위치임
  • Self 포인터 변수: _NT_TIB 구조체 시작 위치 = TEB 시작 위치
• PEB 시작 주소
  • FS:[0x30] = TEB.ProcessEnvironmentBlock = address of PEB
  • 주로 안티 디버깅에서 많이 사용
• SEH 시작 주소
  • FS:[0] = TEB.NtTib.ExceptionList = address of SEH
  • 주로 안티 디버깅에서 많이 사용
  • 어셈블리 코드로 접근
    1)  바로 PEB 주소 구하기
    mov eax, dword ptr fs:[30]
    
    2) TEB 주소를 구하고 ProcessEnvironmentBlock 멤버(+30 옵셋)를 이용 (정석!)
    mov eax, dword ptr fs:[18]
    mov, dword ptr ds:[eax+30]

 

 

 

 

 

 

 

 

 

 

 

 

 

Ref.

[1] 이승원, "리버싱 핵심원리"

[2] Learn Microsoft, "EXCEPTION_RECORD (winnt.h)"

[3] Learn Microsoft,  "WOW64_CONTEXT structure  (winnt.h)"

[4] NirSoft, "EXCEPTION_DISPOSITION"

[5] Learn Microsoft,  " TEB structure (winternl.h)"

[6] Learn Microsoft,  "PEB structure (winternl.h)"