2012년 9월 4일 화요일

해커의 발전 단계




해커의 발전 단계


1단계 : 독창적 해킹 추구 (I'll be a cool hacker)

2단계 : 근원 추구의 자연스러운 연마 (Return to the root)

3단계 : 노는 물이 달라진다 (Level up)

4단계 : 혁신적 기술 전이를 선도 (Lead to the paradigm change)

5단계 : 멋진 스포츠카와 멋진 여자친구 (What a cool life!)


해킹 : 

본질적으로 근원을 추구하는 학문.
근원을 모르고서는 독창적인 해킹을 할 수 없기 때문.






리버싱 때 유용한 API



파일 생성하거나 열기(Open) : 파일을 생성하거나 열 때

32bit : CreateFileA
wide : CreateFileW


파일 입출력(Read&Write)


ReadFile : 읽기
WriteFile : 쓰기



파일 접근(Access)


SetFilePointer



시스템 디렉터리를 얻어오는 함수


32bit : GetSystemDirectoryA
wide : GetSystemDirectoryW


.ini 파일과 관련된 함수 : ini 구성 설정에 관련된 함수들


32bit : GetPrivateProfileStringA, GetPrivateProfileIntA, 

             WritePrivateProfileStringA, WritePrivateProfileIntAwide : GetPrivateProfileStringW, GetPrivateProfileIntW, 
             WritePrivateProfileStringW, WritePrivateProfileIntW


레지스트리와 관련된 함수 : 레지스트리의 키를 생성 혹은 삭제할 때


32bit : RegCreateKeyA, RegDeleteKeyA
wide : RegCreateKeyW, RegDeleteKeyW


현재 열린 레지스트리 키를 읽을 때

32bit : RegQueryValueA
wide : RegQueryValueW


레지스트리 키를 열 때

32bit : RegCloseKeyA, RegOpenKeyA
wide : RegCloseKeyW, RegOpenKeyW


객체에서 문자열을 읽을 때

32bit : GetWindowTextA, GetDlgItemTextA
wide : GetWindowTextW, GetDlgItemTextW


객체의 텍스트를 지정

32bit : SetWindowTextA, SetDlgItemTextA
wide : SetWindowTextW, SetDlgItemTextW


메시지 박스

32bit : MessageBoxA, MessageBoxExA
wide : MessageBoxW, MessageBoxExW

메시지 관련

32bit : SendMessageA
wide : SendMessageW


날짜와 시간 : 날짜와 시간을 구할 때

GetLocalTime
SystemTimeToFileTime


윈도우를 생성하거나 제거할 때

32bit : CreateWindowA, CreateWindowExA, DialogBoxParamA
wide : CreateWindowW, CreateWindowExW, DialogBoxParamW






참고 : 리버스엔지니어링 : 역분석 구조와 원리 박병익/이강석 공저





2012년 9월 3일 월요일

어셈블리 명령어





어셈블리 명령어를 공부하며 정리한 글입니다.



INC(Increase)


피연산자에 1을 더한다
연산 결과에 따라 ZF나 OF가 세트될 수 있다

ex)
INC reg
INC mem


DEC(Decrease)


피연산자에 1을 뺀다
연산 결과에 따라 ZF나 OF가 세트될 수 있다

ex)
DEC reg
DEC mem



ADD(Add)


Destination에 Source의 값을 더해서 Destination에 저장하는 명령어이다.
연산 결과에 따라 ZF, OF, CF가 세트될 수 있다

ex)
ADD destination, source
ADD eax, 123


SUB(subtract)


Destination에 Source의 값을 빼서 Destination에 저장하는 명령어이다.
연산 결과에 따라 ZF, OF, CF가 세트될 수 있다

ex)

SUB destination, source
SUB eax, 123



MUL(unsigned Integer Multiply)


부호 없는 al, ax, eax의 값을 피연산자오 곱한다
피연산자가 8비트이면 al과 곱해서 ax에 저장되고, 16비트이면 ax와 곱하고 dx:ax에 저장된다.

ex)
MUL reg
MUL mem


IMUL(Integer Multiplication)


부호 있는 al, ax, eax의 값을 피연산자와 곱한다.
결과에따라 CF, OF가 세트될 수 있다.

ex)
IMUL r/m8   // 단일 피연산자이고 피연산자를 al, ax, eax에 곱한다

IMUL destination, value   // value를 al, ax, eax와 곱해서 destination에 저장한다

IMUL destination, value, value   // value끼리 곱해서 destination에 저장한다.

연산 결과가 destination 레지스터의 크기보다 크다면 OF, CF가 세트된다.


DIV(Unsigned Integer Divide)


8, 16, 32비트 부호 없는 정수의 나눗셈을 수행한다.

ex)
DIV reg
DIV mem


MOV(Move)


Source에서 Destination으로 데이터를 복사한다

ex)
MOV Destination, Source
MOV reg, reg


MOVS(Move String)


Source에서 Destination으로 데이터를 복사한다


ex)
MOVS Destination, Source


MOVSB, MOVSW, MOVSD (Move String)


SI 또는 ESI 레지스터에 의해 지정된 메모리 주소의 내용을 DI 또는 EDI 레지스터에 의해 지정되는 메모리 주소로 복사한다.

B : Byte 단위 복사
W : Word 단위 복사
D : Dword 단위 복사

DF(방향 플래그)가 1로 세트 되어 있으면 ESI와 EDI는 복사 시에 감소한다.
DF가 0으로 세트 되어 있으면 ESI와 EDI는 복사 시에 증가하게 된다.

ex)
MOVSB
MOVSW
MOVSD

INT(Interrupt)


소프트웨어 인터럽트를 발생시켜 운영체제의 서브루틴을 호출한다.

ex)
INT imm
INT 3


INT(Interrupt)


소프트웨어 인터럽트를 발생시켜 운영체제의 서브루틴을 호출한다.

ex)
INT imm
INT 3


AND(Logical AND)


Destination과 Source 피연산자의 각 비트가 AND 연산된다.

AND 연산은 각 비트가 모두 1일 때만 결과 값이 1이 된다.

AND 연산을 통해서 OF,CF가 0으로 세트 되고, 결과에 따라서 ZF가 1로 세트될 수 있다

ex)
AND reg, reg

OR(Inclusive OR)


Destination과 Source 피연산자의 각 비트가 OR 연산된다

OR 연산은 각 비트가 모두 0이면  결과가 0이고 모두 0이 아니면 결과가 1이 된다

OR 연산을 통해서 OF,CF가 0으로 세트 되고, 결과에 따라서 ZF가 1로 세트될 수 있다

ex)
OR reg,reg

XOR(Exclusive OR)



Destination과 Source 피연산자의 각 비트가 XOR 연산된다

XOR 연산은 각 비트가 서로 다른 값일때 만 결과가 1이다. 같은 값이라면 결과는 0이 된다.

XOR 연산을 통해서 OF,CF가 0으로 세트 되고, 결과에 따라서 ZF가 1로 세트될 수 있다

레지스터를 0으로 초기화 시킬때 XOR reg, reg를 많이 사용한다.

ex)
XOR reg, reg

TEST(Test)


두 피여산자 사이에 놀리적인 AND 연산을 수행하여 플래그 레지스터에 영향을 주지만 결과값은 저장하지 않는다.

OF, CF는 항상 0으로 세트되고 TEST 연산 결과값이 0이면 ZF가 1로, 0이 아니면 ZF가 0으로 세트된다.

ex)
TEST reg, reg

PUSH(Push on Stack)



스택에 값을 넣는다.

ESP의 값이 4만큼 줄어들고 이 위치에 새로운 값이 채워진다.

ex)
PUSH reg16

PUSHAD(Push All)


EAX, EBX, ECX, EDX, ESI, EDI, ESP, EBP 레지스터의 값을 스택에 PUSH 한다

레지스터들의 값을 보관해야 할 필요가 있을 때 사용한다.

ex)
PUSHAD

PUSHFD(Push Flags)


플래그 레지스터를 스택에 PUSH한다.

플래그 레지스터의 값을 보관해야 할 필요가 있을 떄 사용한다

ex)
PUSHFD

POP(Pop from Stack)


ESP레지스터가 가리키고 있는 위치의 스택 공간에서 4byte 만큼을 Destination 피연산자에 복사한다.

그리고 ESP 레지스터의 값에 4를 더한다.

ex)
POP destination

POPAD(Pop All Flags from Stack)



스택에 존재하는 값을 EAX, EBX, ECX, EDX, ESI, EDI, ESP, EBP 레지스터로 POP한다.

PUSHAD 명령어로 스택에 보관해 놓은 레지스터 정보를 다시 이용하려고 할 때 사용한다.

ex)
POP destination



POPFD(Pop Flags from Stack)




스택에 존재하는 값을 플래그 레지스터로 POP 한다.

PUSHFD 명령어로 스택에 보관해 놓은 레지스터 정보를 다시 이용하려고 할 때 사용한다.

ex)
POPFD


XCHG(Exchange)




두 피연산자의 내용이 서로 교환된다.

XCHG 명령은 imm 값이 피연산자로 올 수 없다.

ex)
XCHG reg, reg


NEG(Negate)



피연산자의 2의 보수를 계산하여 결과를 피연산자에 저장한다.

ex)
NEG reg
NEG mem

PTR



피연산자의 크기를 재설정한다.

ex)
MOV eax, DWORD PTR value

위의 명령어는 value의 크기르 DWORD 크기로 재설정하여 eax 레지스터에 복사한다는 의미다.


OFFSET


세그먼트의 시작으로부터 변수가 위치한 거리까지의 상대적 거리를 리턴한다.

ex)
MOV esi, OFFSET value

위 명령어는 value가 존재하는 위치를 세그먼트 시작 지점부터의 상대적 거리로 구해서 esi 레지스터에 복사하라는
의미이다.


LEA(Load Effective Address)


Source 피연산자의 유효 주소를 계산하여 Destination 피연산자에 복사한다

간단히 주소를 알아내서 복사하는 명령어라고 생각하면 쉽다.

ex)
LEA reg, mem

REP(Repeat String)




ECX 레지스터를 카운터로 사용해서 문자열 관련 명령을 ECX>0인 동안 반복한다.

ex)
REP MOVS destination, source

JMP(Jump Unconditionally to Lable)




피연산자의 위치로 실행 흐름이 변경된다.

피연산자가 가리키는 코드로 점프 뛰어서 실행한다고 생각하면 된다.

ex)
JMP reg16

CALL(Call a Procedure)




함수 호출시 사용된다.

JMP 명령어와 같이 프로그램의 실행 흐름이 변경되지만 JMP 명령어와 달리 돌아올 리턴 에드레스(CALL 다음 명령)를

스택에 저장한다

되돌아올 주소를 저장하기 때문에 함수 호출 후 원래 위치로 실행 흐름을 되돌릴 수 있다.

ex)
CALL 함수 주소
CALL <JMP to APU> 특정 api 지목
CALL DWORD PTR[EAX+5]

CMP(Compare)



두 피연산자를 비교하는 작업을 한다.

Destination 피연산자에서 Source 피연산자를 묵시적으로 빼서 값을 비교한다.

두 피연산자의 값이 같다면 결과는 0이 되고 ZF가 1로 세트된다.

다르다면 ZF는 0으로 세트된다.

ex)
CMP reg, reg


NOP(No Operation)


아무 일도 하지 않는 명령어이다.

리버싱 작업에서 목적에 따라 유용하게 사용될 수 있다.

ex)
NOP


조건 점프 명령


조건 점프 명령은 JMP 명령어와는 다르게 CMP 명령같이 특정 플래그 레지스터를 변경시킬 수 있는 명령어를

통해서 특정 조건이 만족하게 된다면 점프를 수행하게 되는 명령어이다.


명령어
명령어의 의미
명령어가 수행되기 위한 플래그
레지스터와 범용 레지스터의 상태
JA
Jump if (unsigned) above
CF=0 and ZF=0
JAE
Jump if (unsigned) above or equal
CF=0
JB
Jump if (unsigned) below
CF=1
JBE
Jump if (unsigned) below or equal
CF=1 or ZF=1
JC
Jump if carry flag set
CF=1
JCXZ
Jump if CX is 0
CX=0
JE
Jump if equal
ZF=1
JECXZ
Jump if ECX is 0
ECX=0
JG
Jump if (signed) greater
ZF=0 and SF=0
JGE
Jump if (signed) greater or equal
SF=OF
JL
Jump if (signed) less
SF!=OF
JLE
Jump if (signed) less or equal
ZF=1 and OF!=OF
JNA
Jump if (unsigned) not above
CF=1 or ZF=1
JNAE
Jump if (unsigned) not above or equal
CF=1
JNB
Jump if (unsigned) not below
CF=0
JNBE
Jump if (unsigned) not below or equal
CF=0 and ZF=0
JNC
Jump if carry flag not set
CF=0
JNE
Jump if not equal
ZF=0
JNG
Jump if (signed) not greater
ZF=1 or SF!=OF
JNGE
Jump if (signed) not greater or equal
SF!=OF
JNL
Jump if (signed) not less
SF=OF
JNLE
Jump if (signed) not less or equal
ZF=0 and SF=OF
JNO
Jump if overflow flag not set
OF=0
JNP
Jump if parity flag not set
PF=0
JNS
Jump if sign flag not set
SF=0
JNZ
Jump if not zero
ZF=0
JO
Jump if overflow flag is set
OF=1
JP
Jump if parity flag set
PF=1
JPE
Jump if parity is equal
PF=1
JPO
Jump if parity is odd
PF=0
JS
Jump if sign flag is set
SF=1
JZ
Jump is zero
ZF=1







참고 : 리버스엔지니어링 : 역분석 구조와 원리 박병익/이강석 공저





윈도우즈 시스템 프로그래밍 [8] - 프로세스간 통신 (IPC) 2.




윈도우즈 시스템 프로그래밍을 공부하면서 정리한 글입니다.



7장.  프로세스간 통신 (IPC) 1



I. 프로세스간 통신(IPC)의 의미



1. 프로세스의 커널 오브젝트 핸들 테이블

- 마이크로소프트에서 Windows 운영체제 소스코드를 공개하지 않아 핸들 테이블이 어떻게 관리되는지
   알 방법이 없음
- 리소스 생성 과정에서 커널 오브젝트가 생성되면, 해당 오브젝트의 핸들이 반환

① 핸들과 커널 오브젝트의 리뷰 (Review)


=> 핸들 256을 통해 0x2400번지에 할당 되어 있는 메일 슬롯에 접근 가능
      BUT 핸들 256이 0x2400번지의 커널 오브젝트를 의미한다는 정보가 없음
      => 핸들 테이블 개념을 도입


② 핸들 테이블의 도입


- 핸들 테이블은 핸들 정보를 저장하고 있는 테이블로서 프로세스 별로 독립적


2. 핸들의 상속

- CreateProcess 함수 호출 시 다섯번째 인자가 무엇이냐에 따라 부모 프로세스의 핸들 테이블이
   자식 프로세스에게 상속될 수 있음

① 핸들의 상속에 대한 이해

- 자식 프로세스는 부모 프로세스의 핸들 테이블 정보를 상속 받을 수 있음
   but 모든 핸들 정보를 상속 받진 않음
- 핸들 테이블에는 해당 핸들의 상속 여부 컬럼(column)이 존재
- 상속시, 상속 여부에 대한 정보도 변경 없이 그대로 상속됨
   => 자식 프로세스에 상속된 핸들은 또 다른 자식 프로세스 만들때도 상속됨
- 상속되는 핸들을 결정 하는건 프로그래머 몫


② 핸들의 상속을 위한 전달 인자

BOOL CreateProcess (
   LPCTSTR lpApplicationName,
   LPTSTR lpCommandLine,
   ...
   BOOL bInheritHandles // 핸들 상속 인자
   ...
);

bInheritHandles  -> TRUE 전달할 경우 부모 프로세스의 핸들 테이블은 상속됨
  -> BUT 상속 여부가 Y 로 설정된 핸들에 한해서만 상속이 이루어짐


③ 핸들의 상속과 커널 오브젝트의 Usage Count (UC)

- 프로세스가 핸들을 얻게 되었다는 의미 : 핸들 테이블에 대한 정보가 갱신됨

ex) CreateMailslot 호출
      ⑴ 메일 슬롯 리소스 생성
      ⑵ 커널 오브젝트 생성
      ⑶ 핸들 정보가 핸들 테이블에 갱신  // 이때부터 프로세스가 핸들 정보를 얻음
      ⑷ CreateMailslot 함수를 빠져 나오면서 핸들값 반환

- 부모 프로세스 핸들 테이블에 있는 커널 오브젝트들 UC가 1
- 자식 프로세스 생성 후 상속여부가 Y 였던 커널 오브젝트는 UC가 1 증가 => UC=2가 됨


④ 상속이 되기 위한 핸들의 조건

- 핸들의 상속 여부는 리소스 생성되는 순간 결정 (핸들 테이블의 Y or N)

- LPSECURITY_ATTRIBUTES 구조체 = SECURITY_ATTRIBUTES의 포인터로 정의
- NULL 이 전달되면 상속이 되지 않음
   BUT 구조체 변수를 적절히 초기화해 주소값 전달하면 상속 가능

typedef struct _SECURITY_ATTRIBUTES {
   DWORD nLength;   // 구조체 변수 크기
   LPVOID lpSecurityDescriptor;   // 상속과 관계 없음
   BOOL bInheritHandle;   // 상속 여부 결정   TRUE : Y,  FALSE : N
}

ex)

SECURITY_ATTRIBUTES sa;
sa.nLength = sizeof(sa);
sa.lpSecurityDescriptor = NULL;
sa.bInheritHandle = TRUE;

HANDLE hMailSlot = CreateMailslot(   ...   , &sa);
CreateProcess(   ...   , &sa,   ...   );




II. Pseudo (가짜) 핸들과 핸들의 중복 (Duplicate)


- 프로세스의 핸들은 Pseudo (가짜) 핸들

1. 프로세스의 커널 오브젝트 핸들 테이블