[ASC 스터디] 4주차 - 레지스터, 어셈블리, 연습문제, GDB 사용법

System-hacking/📖

[ASC 스터디] 4주차 - 레지스터, 어셈블리, 연습문제, GDB 사용법

estherseo 2022. 6. 27. 18:45

👉 지난 차시

2022.06.19 - [System-hacking/📖] - [ASC 스터디] 3주차 - 기초이론, 환경세팅, 메모리구조

( x86-64 아키텍처 기반 )

1. 레지스터(Register)

CPU가 데이터를 빠르게 저장하고 사용할 때 이용하는 보관소이다.

메모리나 보조 기억 장치보다 빠르다.

1.1. 32비트 레지스터 ✨

E로 시작한다.

https://www.tutorialspoint.com/assembly_programming/assembly_registers.htm

ex) 32bit EAX > 16bit AX > 8bit AH + 8bit AL

- 데이터 레지스터

(1) EAX(Accumulator)

연산 결과를 저장하고 함수 반환 값을 담는다.

(2) ECX(Counter)

주로 카운팅할 때 사용한다. ( for문의 i 같이 )

(3) EBX(Base)

주로 주소의 기본 값을 저장한다.

(4) EDX(Data)

주로 연산할 때 사용한다.

- 인덱스 레지스터

(5) ESI(Source), EDI(Destination)

각각 출발지와 목적지 주소를 저장한다. ( strcpy($ESI, $EDI); )

- 포인터 레지스터

(6) EBP(Base Pointer)

현재 함수 스택 프레임의 베이스 주소를 저장한다.

(7) ESP(Stack Pointer)

현재 함수 스택 프레임의 최상단 주소를 저장한다.

(8) EIP(Instruction Pointer)

다음에 실행할 어셈블리 명령의 주소를 저장한다.

- 상태 레지스터

OF : 오버플로우 발생시 1로 설정, 계산 결과가 피연산자의 데이터 타입을 벗어나면 1, 계산결과가 부호비트를 침범할 때

SF : 연산 결과가 음수[부호(최상위) bit가 1]면 1이면 1로 아니면 0으로 설정

ZF : 연산 결과가 0이면 1로 아니면 0으로 설정 ( if문 비교 )

CF : 2진수 덧셈에서 자리 올림이 발생하면 1로 설정, 연산 명령으로 Carry(자리 올림)이나 Borrow(부호 비트 앞 비트에 변경이 생김)가 발생할 때 1로 설정

PF : 하위 8비트에서 1의 개수가 짝수면 1

AF : 하위 4비트에서 올림 빌림 발생시 1

( 본래 용도와 다르게 사용해도 문제가 되지 않는다. )

1.2. 64비트 레지스터

R로 시작한다.
32비트와 레지스터 역할은 비슷하지만 함수의 인자를 다루는 방법이 다르다.
32비트는 메모리에 인자를 스택에 push해서 함수를 호출한다. func(1,2,3); => push 1 push 2 push 3 call
64비트는 레지스터에 인자의 값을 담아 함수를 호출한다. RDI, RSI, RDX, RCX, r8, r9 ... 순서대로 인자를 담는다.

(리틀엔디안 vs 빅엔디안)

int x = 0x12345678

주소작 > 주소큰

Little : 0x78 > 0x56 > 0x34 > 0x12

Big: 0x12 > 0x34 > 0x56 > 0x78

2. 어셈블리 언어(Assembly)

어셈블러 : 어셈블리 언어 => 기계어
역어셈블러 : 기계어 => 어셈블리 언어
정적분석은 바이너리의 프로그램 코드를 읽어서 동작을 분석하는 방법 ( IDA, GDB 이용 )
x86, x86-64 어셈에는 AT&T, Intel 표기법이 존재함ex) mov $5, %eax; mov eax, 5; > Intel 표기법이 좀 더 읽기 편함

< x64 어셈블리 언어 구조 >

mov eax, 3

동사 | 피연산자

Opcode | Operand1, Operand2

< 명령어 >

명령 코드
데이터 이동(Data Transfer)	mov, lea
산술 연산(Arithmetic)	inc, dec, add, sub
논리 연산(Logical)	and, or, xor, not
비교(Comparison)	cmp, test
분기(Branch)	jmp, jz, jnz, je, jne, jg, jge, jl, jle
스택(Stack)	push($esp-=4), pop($esp+=4)
프로시져(Procedure)	call, ret, leave
시스템 콜(System call)	syscall

MOV [Destination] [Source]

Source에 있는 데이터를 Destination으로 옮김

메모리나 레지스터에서 데이터의 이동이나 대입 시

LEA [Destination] [Source]

Source에 지정된 주소를 Destination으로 로드

지역변수나 매개변수에 & 연산자를 사용했을 때

ADD OPR1 OPR2

OPR2의 값에 OPR1 값을 더해 OPR1에 저장

ex) add eax, ebx; eax = eax + ebx

SUB OPR1 OPR2

OPR1의 값에 OPR2 값을 빼고 OPR1에 저장

ex) sub eax, ebx; eax = eax - ebx

CMP VAL1 VAL2

VAL1과 VAL2의 값을 비교

ex)

VAL1 < VAL2 : ZF=0, CF=1

VAL1==VAL2 : ZF=1, CF=0

VAL1 > VAL2 : ZF=0, CF=0

JMP ADDR

프로그램의 흐름을 바꿀 때 사용

$RIP 레지스터의 값이 ADDR 주소로 바뀜

CALL TARGET

함수 호출해 실행 흐름 변경JMP 명령어와 다르게 다시 리턴될 수 있도록 Return address를 스택에 저장다음 실행할 명령어의 주소를 스택에 넣음

Data Type

BYTE : 1바이트(8bit) 부호 없는 정수

WORD : 2바이트(16bit) 부호 없는 정수

DWORD : 4바이트(32bit) 부호 없는 정수

QWORD : 8바이트(64bit) 부호 없는 정수

부호 있는 정수는 앞에 S를 붙인다.

TYPE PTR[ADDR] : ADDR을 TYPE형 데이터를 가리키는 포인터로 형 변환

메모리 피연산자
QWORD PTR [0x8048000]	0x8048000의 데이터를 8byte만큼 참조
DWORD PTR [esi]	$esi 포인터 주소 값을 4byte만큼 참조
WORD PTR [rax]	$rax가 가르키는 주소에서 데이터를 2바이트만큼 참조
MOV rax, QWORD PTR[rsi]	$rsi 포인터 주소 값을 $rax에 대입
ex) esp=0x12345678, *esp=100
MOV eax, DWORD PTR[esp];	$eax=100
LEA eax, DWORD PTR[esp];	$eax=0x12345678