RedScreen

안녕하세요. Seek입니다.

오늘은 디버깅할 때 큰 도움이 되는 내용을 공부하고자 합니다.

바로 스택 프레임입니다. 스택 프레임을 이해하고 나면 스택에 저장된 함수 변수와 함수 로컬 변수 등이 쉽게 파악되기 때문에 디버깅에 큰 도움이 됩니다.

1. 스택 프레임

   스택 프레임이란 ESP(스택 포인터)가 아닌 EBP(베이스 포인터)레지스터를 사용하여 스택 내의 로컬 변수, 파라미터, 복귀 주소에 접근하는 기법을 말합니다.

   ESP 레지스터는 스택 포인터 역할을 하고, EBP 레지스터는 베이스 포인터 역할을 합니다. ESP 레지스터의 값은 프로그램 안에서 수시로 변경되기 때문에 스택에 저장된 변수, 파라미터에 접근하고자 할 때 ESP 값을 기준으로 하면 프로그램을 만들기 어려워집니다. 따라서 어떤 기준 시점(함수 시작)의 ESP 값을 EBP에 저장하고 이를 함수 내에서 유지해주면, ESP 값이 아무리 바뀌어도 EBP를 기준으로 안전하게 해당 함수의 변수, 파라미터, 복귀 주소에 접근할 수 있게 되는 것입니다. 이러한 역할을 하는것이 EBP레지스터입니다.

<스택 프레임의 구조>

스택 프레임을 어셈블리 언어로 보았을때 이런 구조로 되어 있습니다. 

2. Stackframe.exe(실습 예제)

   실습예제를 통해 실제 어떻게 동작하는지 보도록 하겠습니다.

<C언어 실습 코드>

<OllyDbg로 실습 프로그램 실행> / 잘안보이시면 클릭해서 확대해서 보세요~

실행시키시고 Ctrl + G로 40100 주소로 간 화면입니다. 그곳에 add()함수와 main()함수가 있기 때문입니다.

2-1. main()함수 시작 & 스택 프레임 생성

C언어코드에서 아래 코드 부분에 해당되는 내용입니다.

<main()>

main()함수 401020에 BP(Break Point)를 설치[F2]한 후 실행[F9]하시면 BP에서 멈출 것입니다.

<main() 함수 시작 시 스택의 상태> 

위 사진에서 ESP=18FF44, EBP=18FF88 입니다. 특히 ESP(18FF44)에 저장된 값 401250은 main()함수의 실행 이 끝난 후 돌아갈 리턴 주소입니다.

이제 한줄씩 알아보도록 하겠습니다.

[ 00401020    PUSH EBP ]

   main()함수는 시작하자마자 스택 프레임을 생성합니다. PUSH EBP는 'EBP 값을 스택에 집어널어라'입니다. main()함수에서 EBP가 베이스 포인터 역할을 하게 되니 EBP가 이전에 가지고 있던 값을 스택에 백업을 한다고 생각하시면 됩니다.

(main()함수 마지막에 함수가 종료되기 전에 이 값을 회복시키는것을 보실수 있을겁니다.)

[ 00401021     MOV EBP, ESP ]

   'ESP의 값을 EBP로 옮겨라'라는 의미입니다. 이 명령 이후에는 EBP는 ESP와 같은 값을 가지게 됩니다. 그리고 main()함수 끝날 때까지 EBP는 값이 고정됩니다. 이 의미는 스택에 저장된 함수 파라미터와 로컬 변수들을 EBP를 통하여 접근하겠다는 것입니다.

   401020과 401021의 주소에 두 명령어에 의해서 main()함수의 대한 스택 프레임이 생성되었습니다.

   OllyDbg에서 오른쪽 아래 스택창에서 우클릭후 'Address'에서 'Relative to EBP'를 선택해 주시면 이제부터 EBP의 위치를 확일하여 어떻게 이동하고 변동되는지 확인하실 수 있습니다.(EBP 기준으로 표시되기 때문에 좀 더 이해에 도움이 될것입니다.)

<main()에서 스택프레임 생성 후 초기 값>

위 사진을 보시면 ESP, EBP는 18FF40으로 동일해졌습니다. 이유는 처음 EBP인 18FF88 주소를 PUSH 명령어로 스택 18FF40에 저장하면서 ESP가 18FF40을 가르키게되었고 사진에서 보시면 18FF40에 18FF88이 들어가 있는것을 확인하실 수 있습니다. 그리고 MOV명령어로 ESP(18FF40)를 EBP에 옮겼기 때문에 두개의 값이 같아 졌습니다. (18FF88은 EBP가 함수 시작할 때 가지고 있던 초기값입니다.)

2-2. 로컬 변수 세팅

C언어코드에서 아래 코드 부분에 해당되는 내용입니다. 

스택에 두 로컨 변수인 a, b를 위한 공간을 만들고 값을 입력하는 부분입니다.

[ 401023     SUB ESP, 8 ]

    SUB는 빼기 명령어 입니다. 'ESP 값에서 8을 빼라' 라는 의미입니다. 현재 ESP는 18FF40입니다.( 사진<main()에서 스택프레임 생성 후 초기 값> 참고) 왜 ESP에서 8을 빼는 빼냐면 함수의 로컬 변수는 스택에 저장된다고 했습니다. 그리고 a, b는 long 타입으로 각각 4바이트 크기이고 2개의 변수를 스택에 저장해야되기 때문에 8바이트가 필요함으로 8을 빼서 두 변수에게 필요한 메모리 공간을 미리 확보해두는 의미입니다. 이렇게 미리 확보 해두었기 때문에 이제부턴 ESP 값이 변해도 a, b의 메모리 공간은 훼손되지 않게 됩니다.

[ 401026     MOV DWORD PTR SS:[EBP-4], 1] ; a

[ 40102D     MOV DWORD PTR SS:[EBP-8], 2] ; b

   위 명령어를 해석하면 'EBP-4 주소에서 4바이트 크기의 메모리에 1을 넣고, EBP-8 주소에서 4바이트 크기의 메모리에 2를 넣어라' 가 됩니다. 즉, EBP-4는 a를 의미하게되고 EBP-8은 b를 의미하게 됩니다. 여기까지 실행 결과 사진이 아래의 사진입니다. 

위 사진을 보시면 EBP는 계속 18FF40을 유지하고 있는것을 확인하시면서 넘어가시면 되겠습니다. 그리고 EBP-4에 1이 EBP-8에 2가 저장되어 있는 것을 확인하실수 있습니다.

2-3. add()함수 파라미터 입력 및 add()함수 호출

C언어코드에서 아래 코드 부분에 해당되는 내용입니다. 

[ 401034     MOV EAX, DWORD PTR SS:[EBP-8] ] ; b

[ 401037     PUSH EAX ]

[ 401038     MOV ECX, DWORD PTR SS:[EBP-4] ] ; a

[ 40103B     PUSH ECX ]

[ 40103C     CALL 00401000]

위에 5줄의 코드는 a, b를 스택에 넣어주고 add()함수를 호출하는 코드입니다. 한줄식 살펴보도록 하겠습니다. 401034는 EBP-8에 있는 b를 EAX 레지스터에 넣어주라는 의미입니다. 그다음줄 401037에서는 b가 들어가있는 EAX를 스택에 넣어주게 됩니다. 401038에서는 a(EBP-4)를 ECX에 넣어주게 되며 4번쨰 줄은 역시 a가 들어가있는 ECX를 스택에 넣게 됩니다. 마지막 40103C에서는 401000을 불러오라고 되있는데 401000은 add()함수를 의미합니다.

여기서 보시면 a를 먼저 꺼내서 스택에 넣는것이 아니라 b를 먼저 꺼내서 스택에 넣으라고 되어있습니다. C언어와는 반대로 저장이 되는데 이것을

'함수 파라미터의 역순 저장'이라고 합니다. 이렇게 거꾸로 넣어야지 나중에 다시 꺼낼때 C언어와 동일한 순서로 불러올수 있게 되는것입니다.

아래 사진은 여기까지 실행한 결과입니다. 

이제는 add()함수 401000 으로 가보겠습니다.

가기전에 CALL 명령어가 실행되어서 다른 함수로 가기전에 다시 돌아와야할 주소(복귀주소:return address)를 CPU는 무조건 스택에 저장합니다. 위 사진을 보시면 빨강색 표시된 부분을 보시면 40103C에서 CALL 401000 이 되어서 add()함수로 가라고 되어있습니다. 그리고 다음줄 401041주소가 add()함수가 끝나고 돌아와야할 복귀주소입니다.

그래서 아래의 사진은 CALL 명령이 실행되고 난 후 스택의 모습입니다. 

EBP-14에 복귀주소인 401041 주소가 들어가어 있는것을 보실 수 있습니다.

2-4. add()함수 시작 & 스택 프레임 생성

C언어코드에서 아래 코드 부분에 해당되는 내용입니다.  

add()함수에서도 역시 함수가 시작될때 자신만의 스택프레임을 생성하게 됩니다.

[ 401000     PUSH EBP ]

[ 401001     MOV EBP, ESP ]

위 2둘을 실행하고 add()함수에서 스택프레임이 생성된 결과입니다. 보시면 main()에서 사용하던 18FF40 의 값이 백업되어서 스택에 새롭게 저장이되고 이것을 가르키고 있는 새로운 주소 18FF28으로 EBP와 ESP가 다시 세팅된것을 보실수 있습니다.

2-5. add() 함수의 로컬 변수(x, y) 세팅

C언어코드에서 아래 코드 부분에 해당되는 내용입니다. 

이제 main함수에서 넘어온 a, b를 x, y에 대입하게 됩니다.

[ 401003     SUB ESP, 8 ]

변수 x, y에 대한 스택에서 메모리를 확보하기 위한 코드입니다.

[ 401006     MOV EAX, DWORD PTR SS:[EBP+8] ]

[ 401009     MOV DWORD PTR SS:[EBP-8], EAX ]

[ 40100C    MOV ECX, DWORD PTR SS:[EBP+C] ]

[ 40100F    MOV DWORD PTR SS:[EBP-4], ECX ]

add() 함수에서 새롭게 스택프레임이 생성되면서 EBP 값이 변했습니다. EBP+8 은 a를 가리키고, EBP+C는 b를 가리킵니다.

그리고 EBP-8은 x, EBP-4는 ,y를 의미합니다. 아래 사진은 여기까지 실행시킨 스택의 모습입니다.

위 사진에서 보시면 설명이 이해가 가실껍니다. EBP+8 는 1이 저장되어있는 a, EBP+C는 2가 저장되어있는 b를 의미합니다. 그리고 add()함수 시작 할 때 새롭게 지정된 EBP 기준으로 위로 EBP-8이 x, EBP-4가 ,y 가 됩니다.

2-6. ADD연산

C언어코드에서 아래 코드 부분에 해당되는 내용입니다. 

[ 401012     MOV EAX, DWORD PTR SS:[EBP-8] ]

EAX에 변수 x의 값(EBP-8 = 1)을 넣습니다.

[ 401015     ADD EAX, DWORD PTR SS:[EBP-4] ]

의미는 'EAX에 변수 y(EBP-4 = 2)를 더하라'입니다. 그러면 이 윗줄에서 이미 EAX에 1을 넣었고 거기에 방금 2를 더했으니 EAX에는 3이란 값이 들어있게 됩니다.

참고로 EAX는 레지스터를 예전에 설명할때 산술 연산에 사용되며 다른 특수 용도로는 리턴 값으로 사용된다고 설명하였습니다. 지금 처럼 리턴 직전에 EAX에 값이 입력되어 있다면 그대로 리턴 값으로 출력되게 됩니다.

지금까지의 실행시키고 스택의 변화는 없습니다. 이유는 방금 2줄의 코드에서는 스택을 변경한것은 없기때문에 EAX의 변화만 있었고 스택의 변화는 없습니다.

2-7. add() 함수의 스택 프레임 해제 & 함수 종료(리턴)

C언어코드에서 아래 코드 부분에 해당되는 내용입니다. 

위 2-6이랑 같은 코드 부분입니다. 이제 더하기 연산은 종료가 되어 최종적인 값인 3이 EAX에 저장되어있습니다. 다시 설명드리면 EAX는 리턴 값으로 사용됩니다.

이제 리턴되기 전에 스택프레임을 해제해야 합니다.

[ 401018     MOV ESP, EBP ]

함수 시작당시의 값으로 ESP를 원래 상태로 돌려 놓는것입니다. 함수 초반에 EBP를 스택에 저장하여 백업하고 ESP를 EBP 넣었었습니다. 이제 다시 복구하는 것이죠. 그리고 EBP가 ESP로 들어가면서 x, y 변수를 만들때 사용된 [SUB ESP, 8] 이란 명령어의 효과는 사라집니다. ESP는 현재의 스택의 끝을 나타내니까 다시 떙겨졌다고 생각하면 되겠습니다. 아래 사진을 보시면 이해되실거 같습니다.

검정색 표시된 부분이 ESP입니다. 그리고 그위에 두줄이 아까 지정하고 add 연산에 사용된 변수 x, y의 스택 메모리 공간입니다. 방금 명령으로 인해 아래로 댕겨졌으니 저 두 변수의 공간은 무효해진것이라 생각하시면 됩니다.

[ 40101A     POP EBP ]

마지막으로 add() 시작 시에 백업했던 EBP의 값을 스택에서 꺼내서 복원합니다. 복원 값은 18FF40이 되겠네요.

아래 사진은 스택 프레임을 해제난 후에 결과 사진입니다. 

ESP = 18FF2C 에 저장되어 있는 값인 401041 은 앞에서 main()함수에서 CALL 401000 명령으로 CPU가 스택에 입력한 복귀 주소입니다. EBP는 백업했던 값으로 돌아온것을 확인 할 수 있습니다. 즉, add()함수가 호출되기 직전의 상태로 돌아온것입니다.

[ 40101B     RETN ]

위 명령이 실행되면 저장되어있던 복귀 주소 401041 로 돌아오게 됩니다. 아래 사진은 그 결과입니다. 

이 사진과 add()함수에 들어가기 직전인 CALL 명령이 실행되기 전의 사진(2-3 부분을 보시면 있는 사진)과 비교해보세요. 스택의 값이 동일합니다.

프로그램들은 이런 식으로 스택을 관리하기 때문에 함수 호출등이 계속 충첩되더라도 스택이 겹치거나 깨지지 않고 잘 유지 됩니다.

2-8. add() 함수 파라미터 제거(스택 정리)

이제 RETN 명령으로 인하여 main()함수로 돌아왔습니다.

[ 401041     ADD ESP, 8 ]

위쪽에 401041으로 돌아온 결과 사진을 보시면 EBP-10, EBP-C 가 있습니다. 이는 add()함수로 넘겨준 a, b입니다. 이제는 add()함수가 완전히 종료되었기 때문에 필요가 없습니다. 그래서 현재 ESP인 18FF30에 8을 더하여 두변수를 제거하면서 스택을 정리해주는 것입니다.(a, b 파라미터는 각각 long 타입으로 4바이트이기 때문에 8바이트입니다.)

여기까지 실행 후 스택의 결과사진입니다. 

EBP-10, EBP-C가 당겨진 모습입니다. 두 변수가 사라진것이죠.

2-9. printf() 함수 호출

C언어코드에서 아래 코드 부분에 해당되는 내용입니다. 

[ 401044     PUSH EAX ]

[ 401045     PUSH 0040B384 ]

[ 40104A    CALL 00401067 ]

[ 40104F    ADD ESP, 8 ]

첫번째 명령 PUSH EAX 는 add()함수에서 넘어온 리턴값인 "3"입니다. 즉, 의미는 'EAX인 3을 스택에 넣어라'가 되겠죠. 그 다음줄은 위에 C언어 코드를 보시면 printf 함수에 파라미터가 2개인것을 보실 수 있습니다. "%d\n" 와 add(a,b) 이렇게 2개입니다.

첫번째 명령인 EAX를 스택에 넣는 것은 printf 에서 add(a, b) 인자가 되겠지요. 그리고 다음중 PUSH 0040B384 은 %d\n 를 의미한다고 알아두시면 될거 같습니다.

즉, 파라미터가 2개이니까 두번 PUSH를 한다. 그중에 하나는 저희가 알고 있고 지금까지 계산해온 EAX를 넣는다. 이정도가 되겠습니다. 

PUSH EAX, PUSH 40B384 이 2개 명령을 실행 한 결과 사진입니다. 

printf 함수가 호출 되기전의 스택의 모습에서 추가가 된것을 보실수 있습니다.

EBP-C 에 EAX가 들어갔으니 3이 들어있는 모습

EBP-10 에 %d\n이 들어간 모습 입니다.

3번째 줄은 CALL 401067 으로 바로 printf 함수를 불러오는 것입니다. 2개의 파라미터를 앞에서 스택에 넣어줬으니 마지막에 함수호출을 하여 넣어둔 2개의 파라미터를 이용하면 되겠지요?

여기서 401067 은 Visual C++ 에서 생성한 C표준 라이브러리 입니다. 이부분은 이정도만 코멘트하고 넘어 가겠습니다.

그리고 마지막 4번째 줄에서 스택을 다시 정리하는 명령인것을 알수 있습니다.

3번째 줄에서 printf 함수를 호출하고 종료되고 돌아왔기 때문에 사용 완료된 스택을 정리하는 것입니다.

2-10. 리턴 값 세팅

C언어코드에서 아래 코드 부분에 해당되는 내용입니다. 

main() 함수의 리턴 값을 0으로 초기화 세팅해줍니다.

[ 401052     XOR EAX, EAX ]

XOR 명령은 Exclusive OR bit 연산입니다. 연산 방법은 같은 값을 XOR 하면 0이 되는 방식입니다.

여기까지 실행 한 스택 결과 사진입니다.

보시면 스택을 변동하는 명령어는 없기때문에 그대로이고 EAX가 0으로 바뀐것을 보실수 있습니다. 위에서 리턴값은 EAX의 값이라고 했습니다. 목적 역시 main()함수까지도 끝났으니 리턴값을 초기화 0으로 세팅한다고 했으니 원하는대로 0으로 세팅된것을 확인할 수 있습니다.

2-11. main() 함수 스택 프레임 해제 & main() 함수 종료

C언어코드에서 아래 코드 부분에 해당되는 내용입니다.  

main()함수가 종료되는 부분입니다. 위에서 했던 add()함수 종료시에 했던 스택 프레임 해제와 동일합니다.

[ 401054     MOV ESP, EBP ]

[ 401056     POP EBP ]

위 두함수로 인하여 스택프레임은 해제 되었습니다. 동시에 main()함수의 변수인 a, b 역시 더이상 무효하게 되었습니다. 여기까지 실행한 후 스택의 결과 사진입니다.

어디서 많이 본 스택의 모습이지 않습니까? 기억 못하시겠지만 main()함수 시작할 때 스택의 모습입니다.

2-1에 <main() 함수 시작 시 스택의 상태> 사진을 보시면 동일하다는 것을 확인할 수 있습니다.

기억은 못하시더라도 이런식으로 main() 함수가 종료되면서 스택프레임을 해제하면 초기의 스택모습으로 복원 된다는것을 계속해서 인식하면 될것입니다.

[ 401057     RETN ]

이제 main()함수가 종료되면서 리턴주소인 401250 으로 돌아가게(점프) 됩니다. 이러함으로써 프로그램이 종료되게 됩니다.

3. 마무리

스택 프레임을 간단히 설명하자면 수시로 변경되는 ESP 레지스터 대신 EBP 레지스터를 사용하여 로컨변수, 파라미터, 복귀 주소 등을 관리하는 방법입니다. 아마 여기까지 잘 이해하셨다면 디버깅에 대해 조금 자신감(?)이 생겼을거라 생각됩니다. 저도 이부분을 공부하면서 함수의 로컬변수, 파라미터, 복귀주소, 리턴 값 등이 어떻게 처리되고 어떻게 동작하는 원리를 이해했기 때문입니다. 많은 도움 되셨기를 바랍니다.

참고서적 : 리버싱 핵심 원리 / 저자 : 이승원

드디어 처음으로 하는 실습입니다ㅎㅎ

제목처럼 해당 파일을 크랙해보라고 도발(?)하는 이름이네요...

크랙미는 크랙 연습을 목적으로 작성되어 공개된 프로그램입니다. 그리고 매우 간단해서 초보자에게 알맞습니다. (저같은..)

그럼 이제 그 도발에 넘어가서 크랙을 해보도록 하겠습니다.

1. abex' crackme #1

   크랙을 하기전에 디버깅을 하기전에 어떤 프로그램인지 알아보록하겠습니다.

위 사진이 실행되며 확인 버튼을 눌러보면 아래와 같은 문구가 나옵니다.

에러메시지가 뜨네요. 저희가 크랙해야될 내용이 보입니다. HD(하드디스크)가 CD-ROM으로 인식되게 하면 되겠네요.

디버깅을 해보도록 하겠습니다.

실행시켜보니 이제까지 디버깅해왔던 HelloWorld.exe와는 코드길이 엄청나게 차이가 나네요. 이유는 지금 하고있는 abex crackme는 어셈블리언어로 만들어진파일이라 코드 길이가 짧습니다. HelloWorld는 C언어등의 언어로 작성된것을 어셈블리로 변환된것이라 긴것입니다.(잘안보이시면 사진을 클릭하여 크게 보세요~)

본론으로 돌아와서 코드분석을 해보겠습니다. (아래 사진 잘 안보이시면 클릭하여 크게 보세요~)

위 사진처럼 분석해보았습니다.

참고. abex' crackme #1에서 사용된 어셈블리 명령어 

2. 크랙

   이제 코드를 패치해서 크랙을 해보도록 하겠습니다. 위에서 말씀드렸듯이 HD를 CD-ROM으로 인식하게 하면 되겠네요.

위 조건분기 코드를 보시면 CMP EAX, ESI를 비교를 먼저 합니다. 그 다음 JE 명령어에서 위에서 비교된 결과값을 가지고 해당 주소 40103D로 점프하라고 되어있습니다.(명령어의 설명을 위쪽 크랙미1에서 사용된 어셈블리 명령어 표를 보시면 됩니다.)

코드분석을 해놓은 그림을 보시면 아시겠지만 EAX, ESI는 같지 않습니다. 그러므로 CMP에서도 불일치하다는 결과값을 출력하기 때문에 JE명령어에서 일치할때 점프하라고 되어있는 주소로 점프하지 못하고 바로 다음줄로 이동하게 됩니다.

바로 다음줄은 조건 불일치 시 라고 명시를 해둔 곳인데 결과적으로 HD를 CD-ROM으로 인식하지 못했다는 메시지박스를 출력하게 되는겁니다.

저희는 이제 조건분기 부분에서 JE명령어 부분을 크랙해서 CMP에서 비교한 값이 어느값이 나오든지 바로 HD를 CD-ROM으로 인식했다는 결과가 출력되도록 해보겠습니다.

"JE SHOR 0040103D" 라는 명령어를 "JMP SHORT 0040103D"로 바꾸시면 되겠습니다. 바꾸시는 방법은 JE명령어 코드를 선택하시고 [Space]버튼 또는 더블클릭해서 바꾸시면 되겠습니다. 그다음 바뀐 프로그램을 새롭게 저장해야되는데요. 먼저 코드를 바꾸신 다음에 작은 팝업창을 닫으시고(JE명령어 코드만 바꾸세요...) 아무코드에서나 마우스 우클릭후에 'Copy to executable' 메뉴에서 'All modifications' 선택하세요. 그 다음 'Copy all'을 누르시면 새로운 코드파일이 생성됩니다. 거기서 마우스 우클릭 후에 'save file'를 선택하여 새롭게 저장하시고 생성되는 exe 프로그램을 실해보시면 HD를 CD-ROM으로 인식했다는 메시지박스를 보실수 있을것입니다.

JE 명령어 코드를 바꾸는것 이외에도 다른 부분을 패치해서 하는 방법도 있습니다. 참고하시면 되겠습니다.

3. 스택에 변수를 전달하는 방법

   크랙미#1을 마무리하면서 스택에 변수를 전달하는 방법에 대해 알아보고 마무리하겠습니다.

1번에서 크랙미#1 코드분석을 보시면 MessageBoxA() 함수가 3개 나옵니다. 그리고 바로 위 코드를 보시면 MessageBoxA() 함수가 실행되기전에 4번의 PUSH 명령어를 사용하여 필요한 변수를 역순으로 입력하고 있습니다.

위 코드를 C언어로 변형하면

[ MessageBox(NULL, "Make me think your HD is a CD-ROM.", "abex' 1st crackme", MB_OK:MB_APPLMODAL); ]

이렇게 됩니다. C언어에서는 함수에 넘기는 변수의 순서가 어셈블리 언어에서는 역순으로 넘어가는 것을 알고계세요. 이유는 스택은 FILO(First In Last Out) 구조이기 때문입니다.

디버거를 EIP=0040100E 시점까지 f4 키를 통해 진행한 다음 해당 스택을 보시면 위 사진처럼 보실수 있습니다.

예전에 공부했던 스택부분으로 기억하시면서 보시면 거꾸로 저장되는것을 확인할수 있습니다. 그렇게 저장을 다하고 맨마지막에 MessageBoxA()가 실행되면서 스택에 있는 변수를 꺼내게 되는데 스택의 구조는 FILO, LIFO(Last In First Out)으로 마지막에 들어간것이 처음으로 나오게 되면서 MessageBoxA()입장에서는 변수들이 순서대로 꺼내는 입장이 되게 됩니다.

이상으로 크랙미#1에 대한 공부를 마치도록 하겠습니다. 이처럼 크랙에 대해 자세히 분석해보았고 실제 실습을 해보면서 공부하며 핵심 원리를 파악하시고 많이 연습하시면 좋을거 같습니다.

참고서적 : 리버싱 핵심 원리 / 저자 : 이승원

안녕하세요.

Seek 입니다~

오늘은 스택에 대해서 공부하도록 하겠습니다.

스택은 로컬 변수 저장, 함수 파라미터 전달, 복귀 주소 저장 등 다양한 용도로 사용됩니다. 디버깅을 할 때 스택 메모리를 확인하는 일이 많기 때문에 스택의 동작 원리를 잘 알아두면 디버깅 실력 향상에 크게 도움이 될것입니다.

1. 스택

   프로세서에서 스택 메모리의 역할은 다음 세가지입니다.

    1) 함수 내의 로컬 변수 임시 저장

    2) 함수 호출 시 파라미터 전달

    3) 복귀 주소(return address) 저장

   스택의 FILO(First In Last Out) 구조가 위와 같은 역할을 수행하기에는 아주 좋습니다.

2. 스택의 특징

   프로세스에서 스택 포인터(ESP)의 초기값은 Stack Bottom쪽(스택메모리의 바닥쪽)에 가깝습니다. PUSH 명령에 의해서 Stack에 값이 추가되면 바닥부터 메모리가 저장되므로 스택 포인터는 Stack Top을 향해 바닥에서 위쪽으로 움직이고, POP 명령에 의해 스택에서 값이 제거되면 다시 스택 포인터는 Stack Bottom을 향해 아래쪽(바닥쪽)으로 움직입니다. 즉, 높은 주소에서 낮은 주소 방향으로 스택이 자라납니다. 스택 메모리에서 바닥에서 위쪽으로 값이 저장되면서 윗 방향으로 스택이 자랍니다. 이러한 스택의 특성 때문에 '스택이 거꾸로 자란다.'라는 표현을 쓰기도합니다. 이렇게 표현하는 이유는 스택이라는 단어는 뭔가를 쌓는다는 뜻이기 때문에 쌓을수록 위로 올라오는 것이 더 직관적이기 때문입니다.

3. 스택 동작 예제

   실제로 스택이 어떤 식으로 동작하는지 이해를 돕기 위해 예제를 실습해보겠습니다.

위 그림은 초기상태의 스택입니다. 스택포인터(ESP) 값은 18FF8C입니다. 그아래 스택 창을 보면 ESP가 가리키는 주소와 그 값을 보여줍니다. 이제 왼쪽에 PUSH 100명령을 실행해보겠습니다.

위 사진은 PUSH 100을 실행 시킨 결과입니다. 스택포인터(ESP)를 보시면 18FF8C 에서 18FF88로 4바이트만큼 줄어들어서 값이 위로 올라가신것을 보실수 있습니다. 그리고 그 아래 스택 창을 보시면 18FF88에 100이 PUSH명령에 의해 저장되어 있는 것을 보실수 있습니다.

즉, 스택에 값을 집어 넣었더니 ESP가 위쪽 방향으로 이동한 것을 볼 수 있습니다. (ESP값이 4만큼 줄었습니다.) 다음에는 POP EAX를 실행해서 값을 다시 꺼내보도록 하겠습니다.

위 사진은 POP EAX 명령으로 다시 스택에서 값을 꺼낸 결과를 보여주는 사진입니다. 다시 ESP는 4바이트만큼 증가하여 18FF8C로 되었고, 그 아래 스택 창을 보시면 초기 상태와 같이 바꼈습니다.

즉, 스택에서 값을 꺼냈더니 ESP는 아래쪽 방향으로 이동하였습니다.

결과입니다.

"스택에 값을 입력(PUSH)하면 스택 포인터(ESP)는 감소(위로 이동)하고, 스택에서 값을 꺼내면(POP) 스택 포인터(ESP)는 증가(아래로 이동)합니다."

추가로 스택 포인터의 초기 값은 스택 메로리의 맨 아래쪽에 있음을 다시 알아두기 바랍니다.

오늘 공부한 간단한 예제는 스택에 값이 입/출력 될 때 스택포인터의 변화를 잘 보여주고 있습니다. 응용 프로그램의 디버깅을 위하여 스택과 스택포인터의 변화를 눈여겨 보시면서 공부하시길 바랍니다.

참고서적 : 리버싱 핵심 원리 / 저자 : 이승원

안녕하세요~ Seek 입니다.

오늘은 IA-32 레지스터에 대해 공부해보겠습니다.

(여기서 IA-32는 Intel Architecture 32비트를 의미합니다.)

1. CPU 레지스터

  레지스터란 CPU 내부에 존재하는 다목적 저장 공간입니다. 일반적으로 메모리라고 하는 RAM과는 조금 성격이 다릅니다. CPU가 RAM에 있는 데이터를 접근하기 위해서는 물리적으로 먼 길을 돌아가기 때문에 시간이 오래 걸리니다. 하지만 레지스터는 CPU내부에 있는 저장 공간이기 때문에 고속으로 데이터를 처리할 수 있습니다.

  리버싱 초급 단계에서 애플리케이션 디버깅을 잘 하려면 디버거가 해석해주는(디스어셈) 어셈블리 명령어를 공부해야 합니다. 어셈블리 명령어의 대부분은 레지스터를 조작하고 그 내용을 검사하는 것들이기 때문에 정작 레지스터를 모르면 명령어 자체도 이해하기 힘들기 때문에 레지스터를 공부해야합니다. 다들 화이팅 합시다! 저도 화이팅 중입니다 ㅎ

2. IA-32 레지스터

  IA-32 레지스터는 지원하는 기능도 많고 그만큼 수도 많이 있습니다. 애플리케이션 디버깅의 초급 단계에서는 Basic program execution register에 대해서 알아두어야 합니다. 디버깅할 때 가장 많이 보게 될 레지스터입니다.

 2-1. Basic program execution registers

위 그림처럼 크게 4가지의 종류가 있습니다.

   - General Purpose Registers (32비트 - 8개)

   - Segment Registers (16비트 - 6개)

   - Program Status and Control Register (32비트 - 1개)

   - Instruction Pointer (32비트 - 1개)

(참고 : 레지스터 이름 앞에 E(Extended)가 붙은 경우는 예전 16비트 CPU인 IA-16 시절부터 존재하던 16비트크기의 레지스터들을 32비트로 확장시켰다는 뜻입니다.)

   1) 범용 레지스터(General Purpose Registers)

      범용 레지스터는 이름처럼 범용적으로 사용됩니다. '막'쓰는' 막'레지스터들이라고 생각하세요. 32비트(4바이트)이며, 보통 상수/주소 등을 저장할 때 주로 사용되며, 특정 어셈블리 명령어에서는 특정 레지스터를 조작하기도 합니다.

위 사진은 범용 레지스터입니다.

 - EAX : 0~31(32비트)

 - AX : 0~15(16비트)

 - AH : 8~15(8비트)

 - AL : 0~7(8비트)

EAX를 기준으로 간단히 설명을 드리면, 4바이트(32비트)를 다 사용하고 있을 때는 EAX를 사용하고, 2바이트(16비트)만 사용할 때는 EAX의 하위 16비트 부분인 AX를 사용하면 됩니다. AX는 다시 상위 1바이트(8비트)인 AH와 하위 1바이트(8비트)인 AL로 나뉘어집니다. 이런식으로 32비트 레지스터를 상황에 맞게 크기에 맞게 나누어 알뜰하게 사용할 수 있습니다.

각 레지스터의 이름입니다.

 - EAX : Accumulator for operands and results data

 - EBX : Pointer to data in the DS segment

 - ECX : Counter for string and loop operations

 - EDX : I/O pointer

위 4개의 레지스터들은 주로 산술연산(ADD, SUB, XOR, OR등) 명령어에서 상수/변수 값의 저장 용도로 많이 사용됩니다. ECX와 EAX는 특수한 용도로도 사용됩니다. ECX는 반복문 명령어(LOOP)에서 반복 카운트(loop count)로 사용됩니다.(루프 돌 때마다 1씩 감소) EAX는 일반적으로 함수 리턴 값에 사용됩니다. 모든 Win32 API함수들은 리턴 값을 EAX에 저장한 후 리턴합니다.

(참고 : Win32 API 함수들은 내부에서 ECX와 EDX를 사용합니다. 이런 API가 호출되면 ECX, EDX의 값이 변경되기 때문에 ECX, EDX에 중요한 값이 저장되어 있다면 API 호철 전에 다른 레지스터나 스택에 백업해야 됩니다.)

나머지 레지스터들의 이름입니다.

 - EBP : Pointer to data on the stack (in the SS segment)

 - ESI : Source pointer for string operations

 - EDI : Destination pointer for string operations

 - ESP : Stack pointer (in the SS segment)

위 4개의 레지스터들은 주로 메모리 주소를 저장하는 포인터로 사용됩니다. ESP는 스택 메모리 주소를 가리킵니다. 스택 메모리 관리는 프로그램에서 매우 중요하기 때문에 ESP를 다른 용도로 사용하지 말아야 합니다. EBP는 함수가 호출되었을 때 그 순간의 ESP를 저장하고 있다가, 함수가 리턴하기 직전에 다시 ESP에 값을 되돌려줘서 스택이 깨지지 않도록 합니다. 이것을 Stack Frame 기법이라고 합니다. ESI와 EDI는 특정 명령어들(LODS, STOS, REP MOVS등)과 함께 주로 메모리 복사에 사용됩니다.

   2) 세그먼트 레지스터(Segment Registers)

    세그먼트 레지스터를 이해하기 위해 세그먼트에 대해 먼저 설명하겠습니다. 세그먼트는 IA-32의 메모리 관리 모델에서 나오는 용어입니다. IA-32보호모드에서 세그먼트란 메모리를 조각내어 각 조각마다 시작주소, 범위, 접근권한 등을 부여해서 메모리를 보호하는 기법을 말합니다. 또한 세그먼트는 페이징 기법과 함께 가상 메모리를 실제 물리 메모리로 변경할 때 사용됩니다.

세그먼트 메모리는 Segment Descriptor Table(SDT)이라는 곳에 기술되어 있습니다. 세그먼트 레지스터는 바로 이 SDT의 index를 가지고 있는것입니다.

세그먼트 레지스터는 총 6개(CS, SS, DS, ES, FE, GS)이며 각각의 크기는 16비트(2바이트)입니다.

 - CS : Code Segment

 - SS : Stack Segment

 - DS : Data Segment

 - ES : Extra(Data) Segment

 - FS : Data Segment

 - GS : Data Segment

CS는 프로그램 코드 세그먼트를 나타내며, SS는 스택 세그먼트, DS는 데이터 세그먼트를 나타냅니다. ES, FS, GS 세그먼트는 추가적인 데이터 세그먼트입니다.

   3) 프로그램 상태와 컨트롤 레지스터(Program Status and Control Register)

    - EFLAGS : Flag Register

    플래그 레지스터의 이름은 EFLAGS이며 32비트(4바이트) 크기입니다. (이역시 앞에 'E'가 붙어있어서 기존 16비트에서 32비트로 확장된 형태를 의미합니다.)

<EFLAGS Register>

위 그림은 EFLAGS 레지스터이며 각각의 비트마다 의미를 가지고 있습니다. 각 비트는 1 또는 0의 값을 가지는데, 이는 On/Off 혹은 True/False를 의미합니다. 일부 비트는 시스템에서 직접 세팅하고, 일부 비트는 프로그램에서 사용된 명령의 수행 결과에 따라 세팅되기도 합니다.

리버싱 입문단계에서는 애플리케이션 디버깅에 필요한 3가지 Flag(ZF, OF, CF)에 대해서만 잘 이해하시면 됩니다.

 - Zero Flag(ZF)

   연산 명령 후에 결과 값이 0이 되면 ZF가 1(True)로 세팅됩니다.

 - Overflow Flag(OF)

   부호 있는 수(Signed integer)의 오버플로가 발생했을 때 1로 세팅됩니다. 그리고 MSB(Most Significant Bit)가 변경되었을 때도 1로 세팅됩니다.

 - Carry Flag(CF)

   부호 없는 수(unsigned integer)의 오버플로가 발생했을 때 1로 세팅됩니다.

   4) Instruction Pointer

    - EIP : Instruction Pointer

    Instruction Pointer는 CPU가 처리할 명령어의 주소를 나타내는 레지스터이며, 크기는 32비트(4바이트)입니다. (이역시 16비트에서 32비트로 확장 되었습니다.) CPU는 EIP에 저장된 메모리 주소의 명령어(instruction)를 하나 처리하고 난 후 자동으로 그 명령어 길이만큼 EIP를 증가시킵니다. 이런 식으로 계속 명령어를 처리해 나갑니다.

범용레지스터와는 다르게 EIP는 그 값을 직접 변경할 수 없도록 되어 있어서 다른 명령어를 통하여 간접적으로 변경해야 합니다. EIP를 변경하고 싶을 때에는 특정 명령어(JMP, Jcc, CALL, RET)를 사용하거나 인터럽트(interrupt), 예외(exception)를 발생 시켜야 합니다.

이렇게 간단하게 레지스터들에 대해서 간략히 살펴보았습니다. 레지스터는 디버깅에 기초가 되는 어셈블러 명령어에 의해 조작되기 때문에 레지스터를 잘 알면 디버깅을 하는 데 크게 도움이 될 것 입니다.

참고서적 : 리버싱 핵심 원리 / 저자 : 이승원