x86 Assembly: Essential Part

해커의 언어: 어셈블리💬

PC에서 복잡한 논리적 인과관계, 여러 개체가 상호작용하며 그 세계에서 통용되는 기계어(Machine Code)언어 핵심!

 

시스템 해킹을 할 때는 컴퓨터 언어, 운영체제, 네트워크, 암호학 등 다양한 배울 것들이 존재하지만, 그중

시스템 해커가 가장 기본적으로 습득해야 하는 지식은 컴퓨터 언어에 관한 것임!

시스템 해커는 컴퓨터의 언어로 작성된 소프트웨어에서 취약점을 발견해야 하기 때문

그런데 문제는 PC 언어인 기계어가 너무 이해하고 작성하기 힘들기에 난해한 기계어를 바꾼 사람이 있으니,

컴퓨터 과학자 중 한 명인 David Wheeler는 EDSAC을 개발하면서 

어셈블리 언어(Assembly Language)와 어셈블러(Assembler)라는 것을 고안

어셈블러는 일종에 통역기로써 개발자들이 어셈블리어로 코드를 작성하면 컴퓨터가 기계어로 코드를 치환해줌

 

그런데 SW를 역분석하는 사람들이 여기서 역발상을 더해,

기계어를 어셈블리 언어로 번역하는 역어셈블러(Disassembler)를 개발!!

여기선 어셈블리 언어에 대한 개략적인 설명 및 x86-64(x64)의 명령어만 소개합니다.

 

---

어셈블리어와 x86-64

컴퓨터의 기계어와 치환되는 언어!

그 전에 설명하였던 명령어 집합구조(ISA)를 설명할 때 봤드시 CPU에 사용되는 ISA의 종류는 많습니다.

따라서 이들의 종류만큼 많은 어셈블리어가 존재하고, 많이 알수록 좋지만 우린 x64 어셈블리어만!

 

---

기본 구조🧱

언어의 기본적인 문법 구조를 갖고 파악해야 문장이 이해되듯이 어셈블리 언어도 마찬가지입니다.

x64 어셈블리 언어는 우리가 사용하는 한국어보다 훨씬 단순한 문법 구조로 이들의 문장은

동사에 해당하는 명령어(Operation Code, Opcode)
목적어에 해당하는 피연산자(Operand, OP)

 

---

명령어🔫

인텔의 x64에는 매우 많은 명령어가 있으나 이 중에서 중요한 21개의 명령어를 다룰 예정

 

정리할 명령어들은 다음과 같이 분류

명령어 코드
데이터 이동(Data Transfer)	mov, lea
산술 연산(Arithmetic)	inc, dec, add, sub
논리 연산(Logical)	and, or, xor, not
비교(Comparison)	cmp, test
분기(Branch)	jmp, je, jg
여긴 좀 더 자세히..
스택(Stack)	push, pop
프로시져(Procedure)	call, ret, leave
시스템 콜(System call)	syscall

 

---

피연산자🎯

TYPE PTR의 타입에 따라 BYTE, WORD, DWORD, QWORD로 각각 1-2-4-8byte로 크기가 지정됨

 

피연산자는 총 3가지 종류가 올 수 있습니다.

• 상수(Immediate Value)
• 레지스터(Register)
• 메모리(Memory)

메모리 피연산자는 []으로 둘러싸인 것으로 표현하며, 앞의 크기 지정자(Size Directive) TYPE PTR이 추가 가능

 

👇메모리 피연산자의 예

메모리 피연산자
QWORD PTR [0x8048000]	0x8048000의 데이터를 8바이트만큼 참조
DWORD PTR [0x8048000]	0x8048000의 데이터를 4바이트만큼 참조
WORD PTR [rax]	rax가 가르키는 주소에서 데이터를 2바이트 만큼 참조

🦜자료형 WORD의 크기가 2바이트인 이유

 초기 인텔 WORD의 크기가 16비트인 IA-16 아키텍처로 개발되어 CPU의 WORD가 16비트이기
때문에, 어셈블리어도 WORD를 16비트 자료형으로 정의하는 것으로 초점을 맞춤

 이후 개발된 IA-32, x86-64 아키텍처는 CPU의 WORD가 32, 64비트로 확장되었습니다.
하지만 WORD 자료형의 크기를 끝까지 16비트로 유지하였으며 호환성 문제 때문!

 

---

데이터 이동🚚

어떤 값을 레지스터나 메모리에 옮기도록 지시함

데이터 이동
mov (rdi, rsi)	데이터 값을 넣기만 함 / (ris의 값을 rdi에 대입)
lea (rsi, [rbx+8* rcx])	주소를 가져옴 / (rbx+8*rcx를 rsi에 대입)

 

 

---

산술 연산❌

덧셈, 뺄셈, 곱셈, 나눗셈 연산을 지시

산술 연산
add (eax, 3)	덧셈 / (eax+=3)
sub (eax, 3)	뺄셈 / (eax -=3)
inc (eax)	op의 값을 1 증가 / (eax++)
dec (eax)	op의 값을 1 감소 / (eax--)

 

---

논리 연산🤔 - and & or

 

and, or, xor, neg 등의 비트 연산을 지시

논리 연산
and	비트 연산자로 and(둘 다 1) 역할
or	비트 연산자로 or(하나이상 1) 역할
xor	비트 연산자로 xor(1개만 있으면 부정) 역할
not	비트 연산자로 not(부정) 역할

위 내용은 찐 기본이라.. 그냥 링크 보시고 하세요 너무 적기 힘드네요 ㅠ

참고로 0xff..이게 여기선 확실한 1이예요 해서 위 0xff..로 비교하면 f를 적는건 아닌거예요 그냥 구분..? 느낌

TMI로 xor을 연속 두번하면 다시 원래 값으로 돌아가는 성질을 이용한 암호학으로 XOR_cipher라는 것도 있어요

 

비트 연산 - 위키백과, 우리 모두의 백과사전

 

---

비교⚖️

두 피연산자(OP)의 값을 비교하고, 블래그를 설정

비교
cmp (op1, op2)	서로 값을 비교, 두 수를 빼서 / (op1 == op2인 식으로) 이전에 적은 플래그로 표현
test	서로 값을 and로 비교 / 이건 별로 안 쓸거 같으니까 뭐 이런 식으로만 양해요..

 

---

분기🔀

rip를 이동시켜 실행 흐름 바꿈

 

이 부분은 너무 많이 존재하기도 하지만 단어 뜻을 보면 대략적으로 파악이 가능하니까 흐름만!!

심지어 조건 부분 후 부속적으로 딸려오는 친구들이니까 특히 그래요

분기
jmp addr	addr로 rip이동하는 것
je addr	비교한 두 피연산자가 같으면 rip를 addr로 이동(jump if equal)
jg addr	비교한 두 피연산자 중 전자가 크면 rip를 addr로 이동(jump if greater)

 

---

Opcode : 스택🧱

push val : val를 스택 최상단에 쌓음 / pop reg : 스택 최상단에 값 꺼내서 reg에 대입

---

 

---

Opcode : 프로시저📜

특정 기능을 수행하는 코드 조각 즉, 함수와 비슷하다고 생각하면 됨

 

프로시저를 부르는 행위를 호출(Call)이라고 부르며, 프로시저에서 돌아오는 것을 반환(Return)이라고 함

프로시저를 호출할 때는 프로시저를 실행하고 나서 원래의 실행 흐름으로 돌아와야 하므로,

call 다음의 명령어 주소(return address, 반환 주소)를 스택에 저장하고 프로시저를 rip로 이동

x64어셈블리언어에는 프로시저의 호출과 반환을 위한 call, leave, ret 명령어가 존재함

 

Call addr : 호출

---

 

leave : 스택프레임 정리

---

💡스택프레임이란?

 스택은 작업 중(지역변수, 함수 또는 연산과정 등) 부차적으로 생겨나는 임시 값들을 저장하는 영역
만약 이 스택 영역을 아무런 구분 X 사용한다면 메모리 영역이 겹치는 문제 발생 ↑

예시로 A함수가 B라는 함수 호출 시, 이 둘이 같은 스택 영역 사용 시 B에서 A의
지역변수 모두 오염 가능! 따라서 정상적인 연산이 불가능하는 문제가 심각하게 발생

 따라서 함수별로 서로가 사용하는 스택의 영역을 명확히 구분하기 위해 스택프레임 사용!

 

ret : return address로 반환

---

 

---

Opcode : 시스템 콜📟

시스템은 해킹으로부터 권한 제어 및 보호를 위해 커널 모드와 유저 모드로 권한을 나누어 관리

 

커널 모드

---

OS가 전체 시스템을 제어하기 위해 시스템 SW에 부여하는 권한파일시스템, I/O, 네트워크 통신, 메모리 관리 등 모든 저수준의 작업은 커널 모드에서 진행시스템의 모든 부분을 제어 가능하여 해커가 진입 시 시스템은 거의 무방비 상태가 됨이에 대하여 상세한 부분은 나중에..

---

유저 모드

---

OS가 사용자에게 부여하는 권한

보통 사용자들이 하는 기본적인 PC 사용 행동이 모두 유저 모드에서 진행

리눅스에서 루트 권한으로 사용자 추가, 패키지 다운로드 행위도 마찬가지

유저 모드를 해커가 취득해도 권한 보호 가능

---

시스템 콜(System Call, syscall) - x64 아키텍처 사용

유저 모드에서 커널 모드의 시스템 SW에게 어떤 동작을 요청하기 위해 사용SW는 대부분 커널의 도움이 필요하므로 시스템 콜이 필요한 이유Ex) 사용자가 cat flag를 실행하면, cat은 커널 명령어로 해야하므로... syscall을 사용함

 

 

Syscall

---

 

x64 Syscall tables

 

종류도 무지 많고 검색하면 쉽게 찾을 수 있으니 외울 필요가 없고,

나중에 쉘코딩을 하다보면 자연스럽게 중요한 몇 가지는 익숙해질 거예요

---

syscall	rax	arg0 (rdi)	arg1 (rsi)	arg2 (rdx)
read	0x00	unsigned int fd	char *buf	size_t count
write	0x01	unsigned int fd	const char *buf	size_t count
open	0x02	const char *filename	int flags	umode_t mode
close	0x03	unsigned int fd	X	X
mprotect	0x0a	unsigned long start	size_t len	unsigned long prot
connect	0x2a	int sockfd	struct sockaddr * addr	int addrlen
execve	0x3b	const char *filename	const char *const *argv	const char *const *envp

 

---

요약🗒️

1. 데이터 이동 연산자
   
   • mov dst, src : src의 값을 dst에 대입
   • lea dst, src : src의 유효 주소를 dst에 대입
2. 산술 연산
   • add dst, src : src의 값을 dst에 더함
   • sub dst, src : src의 값을 dst에서 뺌
   • inc op : op의 값을 1 더함 / op++;
   • dec op : op의 값을 1 뺌 / op--;
3. 논리 연산
   • and dst, src : dst와 src가 모두 1이면 1, 아니면 0
   • or dst, src : dst와 src 중 한 쪽이라도 1이면 1, 아니면 0
   • xor dst, src : dst와 src가 다르면 1, 같으면 0
   • not op : op의 비트를 모두 반전
4. 비교
   • cmp op1, op2 : op1에서 op2를 빼고 플래그를 설정
   • test op1, op2 : op1과 op2에 AND 연산을 하고, 플래그를 설정
5. 분기
   • jmp addr : addr로 rip 이동
   • je addr : 직전 비교에서 두 피연산자의 값이 같을 경우 addr로 rip 이동
   • jg addr : 직전 비교에서 두 피연산자 중 전자의 값이 더 클 경우 addr로 rip 이동
6. 스택
   • push val : rsp를 8만큼 빼고, 스택의 최상단에 val을 쌓는다
   • pop reg : 스택 최상단의 값을 reg에 넣고, rsp를 8만큼 더함
7. 프로시저
   • call addr : addr의 프로시저를 호출
   • leave : 스택 프레임을 정리
   • ret : 호출자의 실행 흐름으로 돌아감
8. 시스템 콜
   • syscall : 커널에서 필요한 동작을 요청

---

참고 자료(단, 위 부분은 제가 배운 내용 요약에 가깝기 때문에 거의 위 내용과 같습니다.)

x86 Assembly🤖: Essential Part(1)

 

[정리] 어셈블리어 정리

참고 이미지

x86 Assembly🤖: Essential Part(1)