어셈블리어 분석 1 - example 1

* 이 게시글은 AT&T 문법에 따라 작성되었습니다.

(AT&T 와 Intel 차이 참고-

2020.07.08 - [SECURITY/REVERSING] - REVERSING 시작하기 - 기초 개념 4 :: 어셈블리 언어 )

 

분석할 어셈블리 코드는 다음과 같다.

 

.file	"example1.c"
.section	.rodata
.LC0:
.string	"Hello world"
.text
.globl	main
.type	main, @function
main:
.LFB0:
.cfi_startproc
pushq	%rbp
.cfi_def_cfa_offset 16
.cfi_offset 6, -16
movq	%rsp, %rbp
.cfi_def_cfa_register 6
movl	$.LC0, %edi
movl	$0, %eax
call	printf
movl	$0, %eax
popq	%rbp
.cfi_def_cfa 7, 8
ret
.cfi_endproc
.LFE0:
.size	main, .-main
.ident	"GCC: (Ubuntu 4.8.4-2ubuntu1~14.04.1) 4.8.4"
.section	.note.GNU-stack,"",@progbits

 

 

먼저, 이 어셈블리 코드는 AT&T 문법을 사용했음을 알 수 있다.

 

먼저, . (온점) 은 "current location" 을 의미한다.

 

 

한 줄씩 살펴보면,

 

 

.file : (일반적으로) 디버거에서 사용하는 원본 소스 파일 이름

 

.rodata 섹션 정의 : 이 섹션은 읽기 전용 데이터 변수이다

 

LC0 변수에 의해 접근할 수 있는 "Hello world" 문자열

 

.text 섹션 : 새로운 section 을 시작하는 것으로, text section 은 코드들을 저장한 섹션임

 

main 함수 정의. main: 이 시작이고, ret 이 main 함수의 끝이다. 

 

 

 

.LFB0 : 함수의 시작을 의마하는 "local label"

 

.cfi_startproc : "call frame information" . 어셈블러에게 dwarf format 디버깅 information 을 만들도록? 지시

 

pushq % rbp : 함수 프롤로그.

현재의 rbp (베이스 레지스터) 값을 저장 (Stack 에 push) 

(* 64 bit 환경에서는 esp / ebp 가 확장되어 rsp / rbp 가 된다.)

(esp 는 함수 동작 중에 변경될 순 있지만, ebp 는 변경되지 않는다. 자세한 내용은

2020/07/08 - [SECURITY/REVERSING] - REVERSING 시작하기 - 기초 개념 4 :: 어셈블리 언어)

 

 

.cfi_def_cfa_offset 16
.cfi_offset 6, -16

movq %rsp, %rbp : 함수 프롤로그.

rsp 를 rbp 로 이동 (베이스 레지스터 = 스택 포인터 ;)

.cfi_def_cfa_register 6

movl $.LC0, %edi : edi 레지스터에 LC0 로 접근하는 문자열 저장
movl $0, %eax : eax 레지스터에 리턴값 0 저장

call printf : 함수 prinf 콜
movl $0, %eax : eax 레지스터에 리턴값 0 저장

popq %rbp  : 함수 에필로그.

leave. 함수 전의 rbp 를 가지고 와서 rsp 를 다시 설정

 

.cfi_def_cfa 7, 8

ret : 함수 에필로그. 함수 끝 !

 

.cfi_endproc : 함수 끝

.LFE0 : local label
.size main, .-main

 

 

주어진 어셈블리어를 c언어로 수정한 결과는 다음과 같다.

 

#include <stdio.h>

int main() {
    printf("Hello world");
    return 0;
}