[Reversing] 3주차 dreamhack stage 3 - (1)

x86 Assembly🤖: Essential Part(2)

 

1. x86-64 어셈블리 명령어 Pt.2

Opcode : 스택 🧱

x64 아키텍쳐에서는 다음의 명령어로 스택을 조작할 수 있다.

 

 push val : val을 스택 최상단에 쌓음

연산)

rsp -= 8

[rsp] = val

 

예제 )

[Register]
rsp = 0x7fffffffc400

[Stack]
0x7fffffffc400 | 0x0  <= rsp
0x7fffffffc408 | 0x0

[Code]
push 0x31337

결과 )

[Register]
rsp = 0x7fffffffc3f8

[Stack]
0x7fffffffc3f8 | 0x31337 <= rsp 
0x7fffffffc400 | 0x0
0x7fffffffc408 | 0x0

 

 

 

pop reg : 스택 최상단의 값을 꺼내서 reg에 대입

연산)

reg = [rsp]

rsp += 8

 

예제)

[Register]
rax = 0
rsp = 0x7fffffffc3f8

[Stack]
0x7fffffffc3f8 | 0x31337 <= rsp 
0x7fffffffc400 | 0x0
0x7fffffffc408 | 0x0

[Code]
pop rax

결과 )

[Register]
rax = 0x31337
rsp = 0x7fffffffc400

[Stack]
0x7fffffffc400 | 0x0 <= rsp 
0x7fffffffc408 | 0x0

 

 

 

 

Opcode : 프로시저 📜

프로시저(Procedure)

: 특정 기능을 수행하는 코드 조각

• 반복되는 연산을 프로시저 호출로 대체 -> 코드의 길이를 줄일 수 있다
• 기능 별로 코드 조각에 이름을 붙임 -> 코드의 가독성을 높인다

호출(Call)

: 프로시저를 부르는 행위

반환(Return)

: 프로시저에서 돌아오는 것

 

□ 프로시저를 호출할 때는 프로시저를 실행하고 나서 원래의 실행 흐름으로 돌아와야 하므로,

call 다음의 명령어 주소(return address, 반환주소)를 스택에 저장하고 프로시저로 rip를 이동시킨다.

 

x64 어셈블리 언어에는 프로시저의 호출과 반환을 위한 call, leave, ret 명령어가 있다.

 

 

▣ call addr : addr에 위치한 프로시져 호출

 

연산 )

push return_address

jmp addr

 

예제 )

[Register]
rip = 0x400000
rsp = 0x7fffffffc400 

[Stack]
0x7fffffffc3f8 | 0x0
0x7fffffffc400 | 0x0 <= rsp

[Code]
0x400000 | call 0x401000  <= rip
0x400005 | mov esi, eax
...
0x401000 | push rbp

결과 )

[Register]
rip = 0x401000
rsp = 0x7fffffffc3f8

[Stack]
0x7fffffffc3f8 | 0x400005  <= rsp
0x7fffffffc400 | 0x0

[Code]
0x400000 | call 0x401000
0x400005 | mov esi, eax
...
0x401000 | push rbp  <= rip

 

 

 

▣ leave : 스택프레임 정리

* 스택프레임

: 함수별로 자신의 지역변수 또는 연산과정에서 부차적으로 생겨나는 임시 값들을 저장하는 영역

-> 함수별로 서로가 사용하는 스택의 영역을 구분

 

연산 )

mov rsp, rbp

pop rbp

 

예제 )

[Register]
rsp = 0x7fffffffc400
rbp = 0x7fffffffc480

[Stack]
0x7fffffffc400 | 0x0 <= rsp
...
0x7fffffffc480 | 0x7fffffffc500 <= rbp
0x7fffffffc488 | 0x31337 

[Code]
leave

결과 )

[Register]
rsp = 0x7fffffffc488
rbp = 0x7fffffffc500

[Stack]
0x7fffffffc400 | 0x0
...
0x7fffffffc480 | 0x7fffffffc500
0x7fffffffc488 | 0x31337 <= rsp
...
0x7fffffffc500 | 0x7fffffffc550 <= rbp

 

 

 

 

▣ ret : return address로 반환

 

연산 )

pop rip

 

예제 )

[Register]
rip = 0x401000
rsp = 0x7fffffffc3f8

[Stack]
0x7fffffffc3f8 | 0x400005    <= rsp

[Code]
0x400000 | call 0x401000
0x400005 | mov esi, eax
...
0x401000 | mov rbp, rsp  
...
0x401007 | leave
0x401008 | ret <= rip

결과 )

[Register]
rip = 0x400005
rsp = 0x7fffffffc3f8

[Stack]
0x7fffffffc3f8 | 0x400005
0x7fffffffc400 | 0x0    <= rsp

[Code]
0x400000 | call 0x401000
0x400005 | mov esi, eax   <= rip
...
0x401000 | mov rbp, rsp  
...
0x401007 | leave
0x401008 | ret

 

 

 

스택 프레임의 할당과 해제

 

 

 

 

---

Quiz : x86 Assembly 1

 

end로 점프하면 프로그램이 종료된다고 가정하자. 프로그램이 종료됐을 때, 0x400000 부터 0x400019까지의 데이터를 대응되는 아스키 문자로 변환하면 어느 문자열이 나오는가?

A) Welcome to assembly world!

이전 리뷰 퀴즈와 같은 문제이므로 설명은 생략하도록 하겠다.

 

 

 

 

Quiz : x86 Assembly 2

 

다음 어셈블리 코드를 실행했을 때 출력되는 결과로 올바른 것은?

main부터 살펴보자.

push rbp : rbp를 스택 최상단에 쌓음

mov rbp, rsp : rsp에 들어있는 값을 rbp에 대입

mov rdi, 0x400500 : 0x400500를 rdi에 대입  (rdi = 0x400500)

call 0x400497 <write_n> : write_n함수로 이동

 

write_n함수 코드

push rbp : rbp를 스택 최상단에 쌓음

mov rbp, rsp : rsp에 들어있는 값을 rbp에 대입

mov QWORD PTR[rbp-0x8], rdi : rdi에 들어있는 값을 rbp-0x8이 가리키는 주소에 대입

 

mov DWORD PTR[rbp-0xc], esi : esi에 들어있는 값을 rbp-0xc가 가리키는 주소에 대입

 

* QWORD PTR : 8byte

DWORD PTR : 4byte

 

xor rdx, rdx : 같은 것을 연산한 것이므로 모든 비트가 0이 되므로 rdx의 값은 0이다.

mov edx, DWORD PTR[rbp-0xc]  : rbp-0xc가 들어있는 주소에 해당하는 값은 edx에 대입 (이전에 rbp-0xc가 가리키는 주소는 esi에 저장됨)

 

mov rsi, QWORD PTR[rbp-0x8] : rbp-0x8가 들어있는 주소에 해당하는 값은 rsi에 대입 (이전에 rbp-0x8가 가리키는 주소는 rdi에 저장됨)

 

mov rdi, 0x1 : 0x1의 값을 rdi에 대입

mov rax, 0x1 : 0x1의 값을 rax에 대입

 

syscall : rax를 요청 (rax는 0x1의 값을 가짐)

syscall에서 rax가 0x1값을 가지면 커널에 write 시스템콜을 요청한다.

rdi, rsi, rdx가 각각 0x1, 0x400500, 0이므로 커널은 write(0x1, 0x400500, 0)을 수행한다.

 

x86 아키텍처는 리틀 엔디언 방식을 사용하기 때문에

0x400500 -> 0x7233346479203730과 같이 저장된다.

마찬가지로 0x400508 -> 0x2064336275363f00 과 같이 저장된다.

따라서 전체 데이터는 0x72333464792037302064336275363f00이다.

이를 아스키 코드로 바꾸면 r34dy 70 d3bu6?라는 텍스트로 바꿀 수 있다.