1581,

14/80

CodeAche

[자작] Linux Reverse Engineering - basic.

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=1405 [복사]

요즘에 몇차례 대회들을 겪으면서.. 리눅스 문제는 거의 리버싱을 해야만 풀리는게 대부분이더군요.
따로 뭐 리눅스 리버싱이라고 공부할 커뮤니티도 없고해서.
직접 공부한 내용을 공유하려고합니다.
강좌도 아니고..거의 추측성 내용이많지만,
공유하므로써 제가 몰랐떤거 누군가 바로잡아주고, 몰랐떤사람은 알게되는 계기가 될수있지않을까해서요.
틀리거나 보충설명은 언제라도 환영입니다.
앞으로 지속적으로 올라갈꺼고,,
기본적인 프로그램부터 지속적으로 리버싱해나갈겁니다.
강좌는 아니지만 질문이나 추가적인 사항에대해 질문하시면 답변은 성심성의껏 달겟습니다.
참고로 이글을 보기전에 기본적인 어셈 문법정도는 알아두는게 좋습니다.

#include<stdio.h>
int main(int argc,char *argv[])
{
return 1;
}

RedHat 2.4.32 (gcc 3.2.2)
0x080482f4 <main+0>:    push   ebp
//기존에 사용되던 ebp 주소를 스택에 저장..(백업개념)

0x080482f5 <main+1>:    mov    ebp,esp
//현재 스택 주소를 앞으로 사용할 base pointer로 설정.
0x080482f7 <main+3>:    sub    esp,0x8
//esp-8
0x080482fa <main+6>:    and    esp,0xfffffff0
//esp AND 0xfffffff0  즉, esp주소의 마지막 자리만 0으로 세팅
0x080482fd <main+9>:    mov    eax,0x0
//eax = 0
0x08048302 <main+14>:   sub    esp,eax
//esp = esp - eax(0)
----------------프롤로그-------------------
0x08048304 <main+16>:   mov    eax,0x1
//eax = 1 (함수내의 마지막 eax는 return value로써 사용된다.)
----------------에필로그-------------------
0x08048309 <main+21>:   leave
//함수 에필로그부분, 현재 스택에서 exit 함.
0x0804830a <main+22>:   ret
//leave에 꼭 뒤따라야하며 함수가 본래 주소로 리턴함.(여기선 운영체제로.)
0x0804830b <main+23>:   nop

FreeBSD 8.0-RELEASE #0 (gcc 4.2.1)
0x080483d0 <main+0>:    lea    ecx,[esp+4]
//esp주소에+4 한 주소값을 ecx에 대입.(esp가 0xfffff1 이였다면 ecx는0xfffff5됨)
0x080483d4 <main+4>:    and    esp,0xfffffff0
//현재 esp와 0xfffffff0을 and. 역시나 esp주소의 마지막 자리만 0으로 세팅
0x080483d7 <main+7>:    push   DWORD PTR [ecx-4]
//최초esp+4 = ecx, ecx-4 = 최초esp 를 32비트단위로 스택에push
0x080483da <main+10>:   push   ebp
//현재 ebp값 스택에 푸쉬(백업개념)
0x080483db <main+11>:   mov    ebp,esp
//현재 esp(마지막자리가 0이된) 를 ebp에 덮어씀.
0x080483dd <main+13>:   push   ecx
//최초 esp+4 = ecx , ecx를 스택에 푸쉬함.
----------------프롤로그-------------------
0x080483e8 <main+24>:   mov    eax,0x1
//eax = 1 , 함수 내 마지막 eax값은 return value.
----------------에필로그-------------------
0x080483f0 <main+32>:   pop    ecx
//ecx 다시 꺼내옴.
0x080483f1 <main+33>:   pop    ebp
//ebp 다시 꺼내옴.
0x080483f2 <main+34>:   lea    esp,[ecx-4]
//최초의 esp+4 = ecx, ecx-4 = 최초esp 를 다시 esp에 넣어줌.
//결국 esp를 단순히 ecx에 백업하지않고.+4 -4 를 이용해서 기존 esp를 사용하게함.
0x080483f5 <main+37>:   ret

Hit : 10323 Date : 2010/02/24 08:07


별빛을담아	형... 월말 되니까 3월달 포인트 모을 준비 하는거죠...? 그런 거죠? 역시 포인트 모으는건 기니피그 건초 먹이는것 보다 쉽다더니... 진짜 하시네;; 게시물 3개로 댓글 싹 모으려는거죠?	2010/02/24
싫어 내가할꺼야	앍. 뭔ㅋ말ㅋ이지; 리버싱에대한건가;	2010/02/24
CodeAche	아 졸라 글의 퀄리티를 못알아보다니 그따위 포인트50때문에 내가 이런거 공유하겟냐 ㅋ	2010/02/24
별빛을담아	나야 리버싱을 모르니까요	2010/02/24
kanate	고급언어를 개발하신분들이 존경스러워지는 글입니다!!	2010/02/25