바이너리 파일, 파일 시그니처, PE 와 ELF 형식

SECURITY/REVERSING

\b\t 2020. 7. 19. 23:34

바이너리 파일

: 사용자 또는 프로그램이 사용하던 정보나 숫자 값을 특별한 가공 없이 그대로 저장한 것

바이너리 파일 내용을 확인하려면 별도의 프로그램 등이 필요하다.

만약 파일에 34, 67, 97 의 정보만 저장되어있다면 무슨 의미인지 알 수 없지만,

그림판, 사진 앱과 같이 사진을 볼 수 있는 프로그램으로 본다면 다른 의미를 찾을 수 있다.

이 포스팅의 제목을 캡쳐한 것을 저장하였다.

사진 앱으로 이 파일을 연다면

이런 결과가 나오지만, 메모장으로 열어보면

와 같은 결과가 나온다.

그냥 봐서는 그 이미를 이해할 수 없는 '쓰레기' 값이 나온다.

이렇게 exe, jpg, png, mp3, word 등의 파일이 바이너리 파일에 해당한다.

참고) 텍스트 파일

텍스트 파일은 문자를 기반으로 하는 파일로, 문자라는 가공 조건으로 생성된 파일이다.

만약 ASCII / UTF-8 기반의 텍스트 파일이라면 ASCII / UTF-8 형식의 문자열이 저장되어 있는 것이다.

int a = 20000; 를 바이너리로 저장한다면 4 byte 에 저장할 수 있지만

텍스트 파일에 저장한다면 더 많은 공간을 필요로 한다.

파일 시그니처 (file signature) (= file magic number)

: 파일 형식마다 가지고 있는 고유의 특징, 즉 포맷에 대한 정보이다.

즉, 파일의 형식마다 정해져 있는 특정한 byte 들 이다.

파일의 처음에만 존재하는 파일 포맷도 있고, 마지막에 존재하는 파일 포맷도 있다.

파일의 처음에 있는 시그니처는 헤더(Header) 시그니처,

파일의 마지막에 있는 시그니처는 푸터(Footer or Tailer) 시그니처 라고 한다.

만약 헤더와 푸터 시그니처가 다른 형식일 경우, 파일에 문제가 있거나 조작된 파일일 가능성이 있다.

HxD 프로그램으로 쉽게 확인할 수 있다.

더 많은 파일 시그니처는

PE 형식 (Portable Executable)

: 윈도우 운영체제에서 사용되는 실행 파일, object 코드 등을 위한 파일 형식

윈도우 로더가 실행 가능한 코드를 관리하는 데 필요한 정보를 캡슐화한 데이터 구조체이다.

Windows 3.1 부터 지원되는 실행 파일 형식

ELF 형식 (Executable and Linkabel Format)

: 유닉스 계열 운영체제(리눅스 등) 에서 사용되는 실행 파일, object 코드 등을 위한 파일 형식

- 이러한 실행 파일을 통해 프로그램이 사용하는 API , DLL 등 다양한 정보와

어느 메모리 주소에 로딩되는지를 확인할 수 있다.

- 파일이 실행되기 위한 모든 정보를 알 수 있다.

각 파일 형식에는 파일 속성(Machine, NumberOfSections 등)과 같은 정보가 있으며

이 정보들이 갖는 파일 시그니처로 분석할 수 있다.

참고)