Reverse Engineering

x86 Assembly: Essential Part(2)

박연준 2023. 7. 2. 15:15

Assembly (1)

  • 산술 연산
    • add, sub, inc, dec
  • 논리 연산
    • and, or, xor, not
  • 비교
    • cmp, test
  • 분기
    • jmp, je, jg

Assembly (2)

  • 스택
    • push, pop
  • 프로시저
    • call, leave, ret
  • 시스템콜
    • syscall

스택 (Stack)

  • x64 아키텍쳐에서는 다음의 명령어로 스택을 조작할 수 있다.
    • ex) push val - val을 스택 최상단에 쌓음
      • 연산
        rsp -= 8
[rsp] = val
      • 예제
        [Register]
rsp = 0x7fffffffc400

[Stack]
0x7fffffffc400 | 0x0  <= rsp
0x7fffffffc408 | 0x0

[Code]
push 0x31337
      • 결과
        [Register]
rsp = 0x7fffffffc3f8

[Stack]
0x7fffffffc3f8 | 0x31337 <= rsp 
0x7fffffffc400 | 0x0
0x7fffffffc408 | 0x0
    • ex) pop reg - 스택 최상단의 값을 꺼내서 reg에 대입
      • 연산
        rsp += 8
reg = [rsp-8]
      • 예제
        [Register]
rax = 0
rsp = 0x7fffffffc3f8

[Stack]
0x7fffffffc3f8 | 0x31337 <= rsp 
0x7fffffffc400 | 0x0
0x7fffffffc408 | 0x0

[Code]
pop rax
      • 결과
        [Register]
rax = 0x31337
rsp = 0x7fffffffc400

[Stack]
0x7fffffffc400 | 0x0 <= rsp 
0x7fffffffc408 | 0x0

프로시저 (Procedure)

  • 컴퓨터 과학에서 프로시저는 특정 기능을 수행하는 코드 조각을 말한다.
  • 프로시저를 사용하면 반복되는 연산을 프로시저 호출로 대체할 수 있어서 전체 코드의 크기를 줄일 수 있으며, 기능별로 코드 조각에 이름을 붙일 수 있게 되어 코드의 가독성을 크게 높일 수 있다.
  • 프로시저를 부르는 행위를 호출(Call)이라고 부르며, 프로시저에서 돌아오는 것을 반환(Return)이라고 부른다.
  • 프로시저를 호출할 때는 프로시저를 실행하고 나서 원래의 실행 흐름으로 돌아와야 하므로, call 다음의 명령어 주소(return address, 반환 주소)를 스택에 저장하고 프로시저로 rip를 이동시킨다.
  • x64어셈블리언어에는 프로시저의 호출과 변환을 위한 call, leave, ret 명령어가 있다.
    • call addr - addr에 위치한 프로시저 호출
      • 연산
        push return_address
jmp addr
      • 예제
        [Register]
rip = 0x400000
rsp = 0x7fffffffc400 

[Stack]
0x7fffffffc3f8 | 0x0
0x7fffffffc400 | 0x0 <= rsp

[Code]
0x400000 | call 0x401000  <= rip
0x400005 | mov esi, eax
...
0x401000 | push rbp
      • 결과
        [Register]
rip = 0x401000
rsp = 0x7fffffffc3f8

[Stack]
0x7fffffffc3f8 | 0x400005  <= rsp
0x7fffffffc400 | 0x0

[Code]
0x400000 | call 0x401000
0x400005 | mov esi, eax
...
0x401000 | push rbp  <= rip
    • leave - 스택프레임 정리
      • 연산
        mov rsp, rbp
pop rbp
      • 예제
        [Register]
rsp = 0x7fffffffc400
rbp = 0x7fffffffc480

[Stack]
0x7fffffffc400 | 0x0 <= rsp
...
0x7fffffffc480 | 0x7fffffffc500 <= rbp
0x7fffffffc488 | 0x31337 

[Code]
leave
      • 결과
        [Register]
rsp = 0x7fffffffc488
rbp = 0x7fffffffc500

[Stack]
0x7fffffffc400 | 0x0
...
0x7fffffffc480 | 0x7fffffffc500
0x7fffffffc488 | 0x31337 <= rsp
...
0x7fffffffc500 | 0x7fffffffc550 <= rbp
    • ret - return address로 반환
      • 연산
        pop rip
      • 예제
        [Register]
rip = 0x401008
rsp = 0x7fffffffc3f8

[Stack]
0x7fffffffc3f8 | 0x400005    <= rsp
0x7fffffffc400 | 0

[Code]
0x400000 | call 0x401000
0x400005 | mov esi, eax
...
0x401000 | mov rbp, rsp  
...
0x401007 | leave
0x401008 | ret  <= rip
      • 결과
        [Register]
rip = 0x400005
rsp = 0x7fffffffc400

[Stack]
0x7fffffffc3f8 | 0x400005
0x7fffffffc400 | 0x0    <= rsp

[Code]
0x400000 | call 0x401000
0x400005 | mov esi, eax   <= rip
...
0x401000 | mov rbp, rsp  
...
0x401007 | leave
0x401008 | ret

    스택 프레임이란?

    함수별로 서로가 사용하는 스택의 영역을 명확히 구분하기 위해 스택프레임이 사용된다. 우분투 18.04에서 함수는 호출될 때 자신의 스택프레임을 만들고, 반환할 때 이를 정리한다.

시스템 콜

  • 윈도우, 리눅스, 맥 등 현대 운영체제는 컴퓨터 자원의 효율적인 사용을 위해, 그리고 사용자에게 편리한 경험을 제공하기 위해 내부적으로 매우 복잡한 동작을 한다.
  • 운영체제는 연결된 모든 하드웨어 및 소프트웨어에 접근할 수 있으며, 이들을 제어할 수 있다.
  • 해킹으로부터 이 막강한 권한을 보호하기 위해 커널 모드와 유저 모드로 권한을 나눈다.

커널 모드

  • 운영체제가 전체 시스템을 제어하기 위해 시스템 소프트웨어에 부여하는 권한이다.
  • 파일시스템, 입력/출력, 네트워크 통신, 메모리 관리 등 모든 저수준의 작업은 사용자 모르게 커널 모드에서 진행된다.
  • 커널 모드에서는 시스템의 모든 부분을 제어할 수 있기 때문에, 해커가 커널 모드까지 진입하게 되면 시스템은 거의 무방비 상태가 된다.

유저 모드

  • 운영체제가 사용자에게 부여하는 권한이다.
  • 브라우저를 이용하여 웹사이트를 보거나, 유튜브를 시청하는 것 모두 유저 모드에서 이루어진다.
  • 리눅스에서 루트 권한으로 사용자를 추가하고 패키지를 내려 받는 행위도 마찬가지이다.
  • 유저 모드에서는 해킹이 발생해도, 해커가 유저 모드의 권한까지 밖에 획득하지 못하기 때문에 해커로부터 커널의 막강한 권한을 보호할 수 있다.

시스템 콜(system call, syscall)

  • 유저 모드에서 커널 모드의 시스템 소프트웨어에게 어떤 동작을 요청하기 위해 사용된다.
  • 소프트웨어 대부분은 커널의 도움이 필요하다.
  • 예를 들어, 사용자가 cat flag 를 실행하면, cat은 flag라는 파일을 읽어서 사용자의 화면에 출력해 주어야 한다.
  • flag는 파일 시스템에 존재하므로 이를 읽으려면 파일시스템에 접근할 수 있어야 한다.
  • 유저 모드에서는 이를 직접 할 수 없으므로 커널이 도움을 줘야 한다.
  • 여기서 도움이 필요하다는 요청이 시스템 콜이라고 한다.
  • 유저 모드의 소프트웨어가 필요한 도움을 요청하면, 커널이 요청한 동작을 수행하여 유저에게 결과를 반환한다.
  • x64아키텍쳐에서는 시스템콜을 위해 syscall 명령어가 있다.

syscall

시스템 콜은 함수이다. 필요한 기능과 인자에 대한 정보를 레지스터로 전달하면, 커널이 이를 읽어서 요청을 처리한다. 리눅스에서는 x64아키텍쳐에서 rax로 무슨 요청인지 나타내고, 아래의 순서대로 필요한 인자를 전달한다.

  • 요청: rax
  • 인자 순서: rdi → rsi → rdx → rcx → r8 → r9 → stack
  • 예제
    [Register]
rax = 0x1   
rdi = 0x1   
rsi = 0x401000  
rdx = 0xb   

[Memory]
0x401000 | "Hello Wo"   
0x401008 | "rld"    
[Code]  
syscall

  • 결과
    Hello World
  • 해석
    • syscall table을 보면 rax가 0x1일 때, 커널에 write 시스템콜을 요청한다. 이때 rdi, rsi, rdx가 0x1, 0x401000, 0xb 이므로 커널은 wrtie(0x1, 0x401000, 0xb)를 수행하게 된다.
    • write함수의 각 인자는 출력 스트림, 출력 버퍼, 출력 길이를 나타낸다. 여기서 0x1은 stdout이며, 이는 일반적으로 화면을 의미한다. 0x401000에는 Hello World가 저장되어 있고, 길이는 0xb로 지정되어 있으므로, 화면에 Hello World가 출력된다.

x64 syscall 테이블

  • 이하는 시스템 콜 테이블의 일부이다. 총 갯수가 300개에 달하고, 검색하면 쉽게 찾을 수 있으므로 외울 필요는 없으며, 쉘코딩을 하다보면 자연스럽게 중요한 몇 가지는 익숙해진다.
    syscallraxrdirsirdx
    read0x00unsigned int fdchar *bufsize_t count
    write0x01unsigned int fdconst char *bufsize_t count
    open0x02const char *filenameint flagsumode_t mode
    close0x03unsigned int fd
    mprotect0x0aunsigned long startsize_t lenunsigned long prot
    connect0x2aint sockfdstruct sockaddr * addrint addrlen
    execve0x3bconst char *filenameconst char *const *argvconst char *const *envp

저작자표시 비영리 변경금지

'Reverse Engineering' 카테고리의 다른 글

Exercise: Helloworld  (0) 2023.07.02
Tools: IDA  (0) 2023.07.02
x86 Assembly: Essential Part(1)  (0) 2023.07.02
Background: Windows Memory Layout  (0) 2023.07.02
Background: Computer Architecture  (0) 2023.07.02

'Reverse Engineering'의 다른글

  • 현재글x86 Assembly: Essential Part(2)

관련글

티스토리툴바