assembly_study-1

📚│War_Game/🏫│Genius_SW

assembly_study-1

Jastes 2022. 5. 23. 22:24

assembly_test_1

assembly test 디컴파일 및 패치

assembly_test_1.exe

0.10MB

이제 어셈블리를 실행하고 확인을 하며 이미지로 쉬운 건 설명 안 할게요

관계도가 저렇게 표현되며, 프롤로그는 건너뛰고
mov dword ptr에 a=1, b=2이며 offset으로 before..로 스택에 저장되며,
바로 before..을 출력하고 바로 a와 b를 비교합니다.

jle이므로 오른쪽이 크다면.. mov dword ptr에 0을 대입해 반환하네요 즉, c=1;
아니라면 mov dword ptr에 1로 반환합니다.

그리고 after..를 출력하고 를 에필로그하며, main함수를 끝!

사실 IDA는 디컴파일러가 바로 되서 그냥 F5하면 되긴 해요 ㅎㅎ
그러나 내부 스택에서만 돌고 출력같은 부분이 없기에 디컴파일하면 밑에처럼 나와요

assembly_test_2

assembly_test_2.exe

0.10MB

음.. mov offset에 Input..을 출력하고, lea eax, [esp+1Ch]로 BSS에 변수를 일단 등록
그리고 esp에 4byte를 추가했기에 int로 추정하며, 바로 offset으로 %d로 받네요
굳이 출력을 하고 바로 입력을 받네요 그냥 한꺼번에 하지는..

그리고 다시 mov offset으로 before..을 출력합니다.
그리고 입력받은 값으로 바로 switch case문을 5번한다고 알려주네요 ㄷㄷ gdb로 분석할때보다 편하네
ja로 case문을 넘어가고 찬찬히 넘어가네요 case문을 이제 하나씩 분석하면 끝이죠

case문마다 그냥 Zero, One..이런식으로 Four갔네요 그리고 case문이 5번까지인데 6개니까 아마도
default로 Error로 case문을 넘어가는 예외문은 저렇게 출력을 하네요.

그리고 에필로그로 가기전에 mov offset after..로 출력하고 끝나네요.

assembly_test_3

assembly_test_3.exe

0.10MB

프롤로그 앞에 and와 sub으로 50byte을 미리 할당한 것으로 봤을땐 BSS에 뭘 넣었네요?
, dword ptr step #1로 출력하며 반복문 쓸건가보네요
또 mov dword ptr .. 0, 1이러므로 반복문 함수로 이동하죠

바로 loc_401574:로 이동해 반복문을 cmp에 [esp+4C]을 불러와서
loc_401567:로 이동하며 반복문으로 10만큼 반복해서 돌려주네요. 0Ah로 cmp하니까요.
다음으로 step #2 출력하고 인자를 3개를 각각 3, 2, 1로 넣어서 함수를 호출합니다.
그리고 뭐 딱히 없네요? 반환값을 안 받아서 스택 혹은 힙에 저장되어 있어서 그런가?

그리고 step #3을 출력하고 에필로그로 끝나네요

여기서 알는 내용이지만 주석은 컴파일 과정에서 특히 전처리 과정에서 생략되죠
그리고 함수 부분은 힙 아님 cs?쪽에 저장되어 반환값을 확인을 안하기에 레지스터 등을 봐야 나오겠죠
뭐 나머진 유사하죠

assembly_test_4

assembly_test_4.exe

0.10MB

전체적인 로직은 위와 같고 하나씩 분석해봅시다.

메인 앞에 var_64로 메모리 할당되었기에 DS 혹은 BS에 할당된 전역변수겠군요
다시 Input.. 출력하고 lea eax에 [esp+0x80][esp-0x64]를 할당하고 다시 메모리에 할당해 char로 바꾸네요..
좀 어렵지만 위와 같이 문자열 배열로 만들어 입력 받고 call로 strncmp로 문자열 비교를 합니다.

지정된 문자열과 같은지 비교해 같으면 이동하며 이동된 분기점은 아례와 같죠
위에 reversing이라는 mov에서 있는 offset의 내용을 비교한다는 부분!

또한 조건문이 안 맞는다면 Inva..을 출력하고 끝!