REVERSING 시작하기 - 기초 개념 4 :: 어셈블리 언어

 

어셈블리 언어

 

: 자연어와 기계어 사이로, CPU 의 명령어들을 영어의 약자인 기호로 표기한 것이다.

이 기호들은 CPU 의 명령어(기계어) 와 일대일 대응한다.

컴퓨터 구조에 따라 사용하는 기계어가 다르고, 그에 따라 만들어지는 어셈블리어도 다르다.

기계어보다는 높은 수준에서 프로그램을 작성할 수 있다.

 

* 프로그래밍 언어의 분류

기계어 (machine language) <-> 어셈블리어(assembly language) <-> 고급 언어(high-level language)

기계어와 어셈블리어가 저급 언어, Python, C, Java 등이 고급 언어에 속한다.

 

* 어셈블러(assembler) : 기호를 이진수로 변환하는 프로그램

 

 

1 개요

1.1 AT&T 방식과 Intel 방식

 

어셈블리 언어는 AT&T 와 Intel 의 두 가지 (서로 호환되지 않는) 문법을 가진다.

 

	AT&T	예시	Intel	예시
접두사	레지스터 '%;, 값 '$"	movl #1, %a int $0x80	16진수 'h' , 2진수 'b' , 6진수 '0'	mov a, 1 int 80h
접미사	long 은 'l' , word 는 'w' , byte 는 'b' 등	movw %ax, %bx movl %eax, %ebx	없음	byte ptr dword str[ebx]
	접미사에 따라 오퍼랜드의 크기도 정해짐
오퍼랜드의 위치	sourse (원본) 다음에 destination (목적지)	instr sourse, dest	destination (목적지)  다음에 sourse (원본)	instr dest, source
메모리 오퍼랜드	기본 레지스터가 ( ) 사이	movl (%eax), %ebx	기본 레지스터가 [ ] 사이	mov ebx, [eax]
명령 수행		movl 0x20(%ebx),%eax		mov eax, [ebx+20h]
	instr %segreg:disp(base, index, scale).foo		instr foo, segreg:[base+index*scale+disp]

 

1.2 Opcode 와 Operands

 

명령어는 Opcode(연산자) 부분과 Operand(주소) 부분으로 구성된다.

Opcode (Operation Code) : 명령어에서 연산 동작을 지정하는 부분

Operand : 연산의 대상. 즉, Opcode 의 대상이 되는 데이터의 위치(주소)

 

요약하자면, 명령어와 인자!

 

* Opcode 는 Operand 의 개수에 따라 0-주소 명령, 1-주소 명령, 2-주소 명령, 3-주소 명령으로 구분할 수 있다.

0-주소 명령 : 단항 연산. ex. PUSH, POP

1-주소 명령 : 누산기(Accumulator)를 이용하여 연산 수행

2-주소 명령 : 가장 일반적인 연산의 형태. 연산 후 입력 자료의 값이 변화한다.

  (결과값 저장과 입력 자료를 위한 두 operand)

3-주소 명령 : 연산 후 입력 자료의 값이 보존된다. 명령어의 수행 시간이 가장 길지만 프로그램의 길이는 가장 짧다.

  (한 operand 는 결과값 저장, 나머지 두 operand 는 입력 자료)

 

 

2 명령어

 

명령어	수행 내용	명령어	수행 내용
MOV	값을 넣는 역할 (가장 많이 사용됨) (데이터 이동)	LEA	주소를 넣는 역할 (메모리의 오프셋값을 레지스터로 로드) Load Effective Address to Register
PUSH	Stack 에 넣기	POP	Stack 에서 가져오기
ADD	(CARRY 를 포함하지 않고) 더하기	SUB	(CARRY 를 포함하지 않고) 빼기
MUL	곱하기	DIV	나누기
INC	Operand 내용을 1 증가	DEC	Operand 내용을 1 감소
AND	논리 AND 게이트	OR	논리 OR 게이트
XOR	배타 논리 합 (Exclusive OR)	NOT	비트 반전 (1의 보수)
CMP	두 Operand 비교 Compare (두 값을 빼서 같으면 0 -> ZF 가 1)	JMP	Operand 위치로 점프 (JUMP) (주소를 직접 지정할 수도, 레지스터를 줄 수도 있음)
JE	비교 결과가 같으면 점프 (분기) Jump on Equal	JNE	비교 결과가 다르면 점프 (분기) Jump on Not Equal ZF 가 0 이어야 JNE 에서의 주소로 넘어감
NOP	No OPeration 아무 명령도 수행하지 않는 코드 NOP 명령어 자체는 1 byte 의 크기를 가지고, 명령어 사이의 빈공간을 채워준다. 쓰레기 값. 공간 채우는 ~ like 질소
CALL	프로시저 호출 (이 명령어가 실행되면 복귀 주소를 Stack 에 PUSH)	RET	CALL 로 (Stack 에 PUSH 된 주소로) 복귀 Return from CALL

 

 

3. 주소 지정 방식

- 레지스터 주소 지정 (Immediate Addressing)

: 레지스터의 주소 값을 직접 지정

  처리 속도가 가장 빠르다. (∵ 레지스터가 CPU 안에 있으므로 다른 메모리랑 상호 작용할 필요가 없다.)

ex. mov edx, eax

 

- 직접 메모리 주소 지정 (Direct Addressing)

: 메모리의 주소를 직접 지정하는 방식

  즉, 주소 필드에 유효 주소(=Operand 의 주소)를 직접 저장한다.

 가장 일반적인 주소 지정 방식이다.

  한 번의 메모리 접근만 있으면 된다.

(주로 피연산자 하나가 메모리 위치를 참조하고 다른 하나가 레지스터를 참조한다.)

ex. mov eax, [8080h]

 

- 레지스터 간접 주소 지정 (Indirect Affressing)

: 레지스터에 주소값을 넣어주고, 해당 주소의 값을 대입하도록 만든 것이다. (쉽게 말하면 포인터)

  주소 필드에 Operand 가 저장된 기억장치 주소값을 갖고 레지스터를 지정하는 방식

  즉, 주소 필드에 유효 주소가 저장되어 있는 기억장치 주소를 저장한다.

  두 번의 메모리 접근이 있어야 한다.

(세그먼트(Seagment) : 오프셋(offset) 형식)

ex. DS:[BX]

 

- 인덱스 주소 지정

: 레지스터 간접 지정 방식에 변위가 더해진 방식 (쉽게 말하면 배열)

ex. [BX + 20h]

 

- 베이스 레지스터 주소 지정
: 실제 주소 생성을 위해 베이스 레지스터 (BX/BP) 와 인덱스 레지스터 (DI/SI) 를 결합

주로 2차원 배열의 주소 지정에 사용한다.

ex. [BX + SI]

 

- 변위를 갖는 인덱스 주소 지정

: 실제 주소 생성을 위해 베이스 레지스터, 인덱스 레지스터, 변위 결합

ex. [BX + SI + 20h]

 

레지스터 간접 주소 지정, 인덱스 주소 지정, 베이스 ,, 등등 비슷해 보이지만 차이는 용도 !!!

용도에서 차이를 보인다.

 

 

4. call

- 시스템 콜 (System call) 이란

: 응용 프로그램에서 운영 체제에게 어떠한 기능을 수행해달라고 요청하는 하나의 수단

User mode 에서 운영 체제(kernel mode) 의 명령을 사용하기 위해 쓰는 것이다.

(사용자가 마구 접근하면 곤란한 그런 것들...)

 

종류: 프로세스 제어 (Porcess Control), 파일 조작(File Manipulation), 장치 관리 (Device Management), 정보 유지 (Information Maintenance), 통신 (Communication)

 

ex. open(), read(), write() ...

주의 ! printf() 는 system call 은 아니고 라이브러리 !!!! (stdio.h)

 

 

5. 함수

- 함수 프롤로그

베이스 포인터 (EBP) 를 Stack 에 저장하고 현재 스택 포인터 (ESP) 를 베이스 포인터에 저장한다.

함수가 호출 (CALL) 될 때, 스택 프레임(Stack Frame) 을 구성해주는 작업을 일컫는다.

 

push eip

push ebp (SFP)

mov ebp, esp

 

- 함수 에필로그 

현재 스택 포인터를 베이스 포인터로 바꾼 후 RET 을 통해 다음 주소로 점프한다.

함수의 수행 과정을 통해 ESP 가 변경되었을 수 있는데, 이 후에 EBP 와 동기화해주는 작업이다.

 

mov esp, ebp (leave)

pop ebp (leave)

ret

 

(ret ::

pop eip

jmp eop)

 

(* 64 bit 환경에서는 esp / ebp 가 확장되어 rsp / rbp 가 된다.)

 

따라서 함수 호출의 전체 과정은 다음과 같다.

1. 함수가 사용할 Parameter 을 Stack 에 넣고 함수의 시작 지점으로 점프  << CALL

2. 함수 내에서 사용할 스택 프레임 설정  << 프롤로그

3. 함수 수행

4. 처음 수행한 지점으로 돌아가기 위해 스택을 복원  << 에필로그

 

즉, 프롤로그와 에필로그는 스택 프레임을 생성하고 관리하며 마지막에 동기화해주는 작업!

 

 

* Stack Frame 스택 프레임

:  (ESP 가 아닌) EBP 레지스터를 사용하여 스택 내의 로컬 변수, 파라미터, 복귀 주소에 접근하는 기법

  즉, 각 함수가 사용하는 스택의 영역! 

* EIP

EIP (Extended Instruction Pointer) : 확장된 명령 지시자.

다음에 CPU 가 해야 할 일(메모리의, CODE 의 주소)을 기억