2008 CodeEngn Conference 02 Strip된 정적 링크된 ELF 바이너리에서 원래의 함수정보를 얻어내는 방법과 IDA SDK를 이용한 플러그인 제작을 설명한다. grayResolve 플러그인의 실행순서로는 1. 함수 이름을 복구하고자 하는 ELF 파일을 IDA로 로드한 뒤, Edit > Plugin 메뉴 또는 단축키 Alt + 1 을 통해 grayResolve 실행 2. 대상 파일이 컴파일될때 링크된 라이브러리 파일을 (예: libc.a) 지정해준다. 3. 찾고자 하는 함수 이름이 발견되지 않으면, 다른 라이브러리 파일을 대상으로 시도해보고 로그 파일을 분석한다. http://codeengn.com/conference/02

1. 정적 링크된 ELF 파일에서의
외부 심볼 정보 복구 기법
2nd CodeEngn Seminar
태 인 규 (graylynx@hackken.org)
www.CodeEngn.com

2. E
L
F
xecutable
inkable
ormat

3. 실행 가능한
링크 가능한
형식형식

4. 공유라이브러리와
실행파일을
위한 기본 형식

5. ELF 구조

6. 정적 링킹
VS
동적 링킹
VS

8. 섹시 심볼

9. ELF의
심볼
테이블
= 디버깅 정보
테이블

10. QUIZ

11. WHY?

12. Stripped!

13. 재개발이 가능할까?재개발이 가능할까?

14. 실험

15. 실행 파일에 복사된
공유 라이브러리 코드와
원본 공유 라이브러리 코드의
비교
/* example.c */
#include <stdio.h>
int main()
{
printf("Hello, ELF!₩n");
return 0;
}

16. $> gcc example c -o example -static
비교대상 1
: 정적 링크, 심볼 테이블이 삭제된
ELF 실행 파일
$> gcc example.c o example static
$> cp example example_stripped
$> strip -S exmaple_stripped

17. $> cp /usr/lib/libc a /tmp
비교대상 2
: 정적 공유라이브러리 내
목적 파일
$> cp /usr/lib/libc.a /tmp
$> ar /tmp/libc.a

18. 비교대상 1 : 실행 파일에 복사된 공유 라이브러리 코드
비교대상 2 : 원본 공유 라이브러리 코드

19. 실행 파일에 복사된 printf() 함수 기계어 코드

20. 재배치

21. 재배치

22. $> readelf -r printf.o
재배치 테이블 조회
WHAT THE ??!!

23. 비교대상 1
비교대상 2

24. Signature

25. 꿈은 ★ 이루어진다꿈은 ★ 이루어진다

26. grayResolve
IDA Pro Plug-In
C / C++ / STL
Archive Parser
ELF Analyzer
Signature Searching
Name Resolving

27. Demo

28. Q & AQ

29. QUIZ
본 발표에서 사용된 삽화 중
사인하는 장면의 주인공은사인하는 장면의 주인공은
누구인가?

31. 2nd CodeEngn Seminar
http://blog.hackken.org/grayTools
graylynx@hackken.org
www.CodeEngn.com