[EVI$ION] #4 - Reversing 1

리버싱 엔지니어링(Reverse Engineering)

• 리버싱 엔지니어링(Reverse Engineering)은 기존의 소프트웨어나 하드웨어를 분석하여 원래 설계, 구조, 코드, 동작 원리를 파악하는 기술적 과정으로 보통 소프트웨어 리버싱의 경우, 컴파일된 바이너리 파일(실행 파일)을 역분석하여 소스 코드의 구조를 이해하고, 프로그램이 어떻게 작동하는지를 분석하는데 초점을 둔다.

프로그램이란?

• 연산장치가 수행해야 하는 동작을 정의한 일종의 문서로 binary라고 말한다.

---

고급언어가 기계어로 번역되는 과정

전처리 → 컴파일 → 어셈블 → 링크 → EXE 파일

1. 전처리(Preprocess)

• 컴파일러가 소스코드를 어셈블리어로 컴파일하기 전에 필요한 형식으로 가공하는 과정
• 주요 기능
  • 주석 제거
  • 매크로 치환
  • 파일 병합

2. 컴파일(Compile)

• C로 작성된 소스코드를 어셈블리어로 번역하는 것.
• 이 과정에서 문법적 오류가 발생하면 에러를 출력
• 최적 기술 적용(옵션)

3. 어셈블(Assemble)

• 컴파일로 생성된 어셈블리어 코드를 ELF 형식의 Object file로 변화하는 과정
• Object file로 변환이 되면 어셈블리 코드가 기계어로 번역됨.
• Gcc에서 -c 옵션을 통해 add.S를 목적파일로 변환가능. 

4. 링크(Link)

• 여러 목적 파일들을 연결하여 실행가능한 바이너리로 만드는 과정
• 링크를 하면 실행할 수 있는 exe 파일, 즉 프로그램이 완성됨.

---

디스어셈블(Disassemble)

• 기계어로 작성된 바이너리 파일을 어셈블리어로 변환하는 작업
• 컴퓨터가 직접 실행할 수 있는 기계어는 인간에게 읽기 어렵기 때문에, 디스어셈블 과정을 거쳐 사람이 이해할 수 있는 어셈블리 코드로 변환하는 과정이다.

디컴파일(Decompile)

• 디컴파일은 디스어셈블보다 한 단계 더 나아가, 어셈블리어로 변환된 코드를 고급 프로그래밍 언어로 변환하는 작업
• 이를 통해 원래의 소스 코드와 유사한 형태로 프로그램을 분석할 수 있다.

디스어셈블 및 디컴파일 이후 분석 방법

정적 분석(Static Analysis)

• 프로그램을 실제로 실행하지 않고, 코드와 데이터 구조를 분석하는 방법
• 프로그램의 안전성을 유지한 채로 분석이 가능하며, 악성 코드나 위험한 코드의 실행을 방지할 수 있다.

동적 분석(Dynamic Analysis)

• 프로그램을 실제로 실행하면서, 프로그램의 동작을 추적하고 분석하는 방법
• 프로그램이 실제로 어떤 행동을 하는지 실시간으로 확인할 수 있으며, 실행 시점의 메모리 상태나 함수 호출 과정 등을 분석할 수 있다.

---

컴퓨터 구조(Computer Architecture)

• 컴퓨터가 효율적으로 작동할 수 있도록 하드웨어 및 소프트웨어 기능을 고안하고, 이들을 구성하는 방법
• CPU에 대한 설계 = 명령어 집합 구조
  • ARM, x86 or x86-64, x64등
• x86-64 및 x64의 아키텍처 : 레지스터
  • 범용 레지스터 - eax, ebx, ecx, edx
  • 세그먼트 레지스터
  • 명령어 포인터 레지스터
  • 플래그 레지스터

범용 레지스터

• eax: 곱셈과 나눗셈 명령에서 자동으로 사용, 함수의 리턴값이 저장
• ebx: ESI나 EDI와 결합하여 인덱스에 사용
• ecx: 반복 명령어 사용 시 카운터로 사용
• edx: eax와 같이 사용, 부호확장 명령
• esp: stack point(스택으로만 모든 것들을 구별) 
• ESI: 데이터를 조작하거나, 복사 시에 소스 데이터의 주소가 저장
• EDI: 복사 시에 목적지의 주소가 저장

Q) AX에 E21F를 대입하면

A) AH = E2, AL = 1F

 

Q) EAX에 1234 0000을 대입하면? 그 후 AL에 12를 대입?

A) AX = 0000, AH = 00, AL = 00

AL = 12, AX = 0012, EAX = 12340012

세그먼트 레지스터

• 6가지 세그먼트 레지스터 존재 - CS, DS, ES, FS, GS
• 각 레지스터의 크기는 16비트
• X64로 아키텍처가 확장되면서 용도에 큰 변화가 생김

명령어 포인터 레지스터

• 프로그램의 코드는 기계어로 작성되어 있음
• 이 중에서 CPU가 어느 부분의 코드를 실행할지 가리키는 것
• x64에서는 rip

플래그 레지스터

• 프로세서의 현재 상태를 저장하고 있는 레지스터
  • CF(Carry Flag): 부호 없는 수의 연산 결과가 비트의 범위를 넘을 경우 설정
  • ZF(Zero Flag): 연산의 결과가 0일 경우 설정
  • SF(Sign Flag): 연산의 결과가 음수일 경우 설정
  • OF(Overflow Flag): 부호 있는 수의 연산 결과가 비트 범위를 넘을 경우 설정

---

어셈블리어

어셈블리어 구조

 

피연산자

• 상수
• 레지스터
• 메모리
  • BYTE(1byte)
  • WORD(2byte)
  • DWORD(4byte)
  • QWORD(8byte)

ex) QWORD PTR[0x8048000]: 0x8048000의 데이터를 8바이트만큼 참조하라.

 

---

명령어

데이터 이동

• mov dest, src

산술 연산

• INC reg
  • INC: 피연산자에 1을 더함
• DEC reg
  
  • DEC: 피연산자에 1을 빼기
• ADD dsst, src
  
  • ADD: dest에 src값을 더해서 dest에 저장
  • 연산결과에 따라 ZF, OF, CF가 설정됨
• SUB dest, src
  • SUB: dest에 src값을 빼서 dest에 저장
  • 연산결과에 따라 ZF, CF가 설정됨
• MUL reg
  • MUL: 부호 없는 AL, AX, EAX의 값을 피연산자와 곱셈
  • 결과에 따라 OF, ZF 플래그가 설정
• DIV reg
  
  • DIV: 8, 16, 32비트 부호없는 정수의 나눗셈 수행
  • 결과에 따라 CF, OF, ZF 플래그가 설정
  • 나머지 = DX, 몫 = AX

비교 연산

• CMP dest, src
  
  • CMP: 두 피연산자의 값을 비교하고, 플래그 설정
  • dest - src 해서 비교
    • dest = src => ZF = 1
    • dest != src => ZF = 0
    • ZF 초깃값 = 0

분기 연산

: rip를 이동시켜서 실행흐름을 바꿈

• jmp addr: addr로 rip 이동
• je addr: 직전에 비교한 두 피연산자가 같으면 점프
• je 반대 = jne

함수 호출 명령어

• CALL reg
  
  • CALL: 함수 호출 시 사용되는 명령어
  • jmp와 같이 프로그램 실행 흐름이 변경되지만 return 주소를 스택에 저장