리버싱 기초 / Hello World! 리버싱 / 문자열 패치

0. 리버싱이란? 

- 리버스 엔지니어링: 역공학

 

(1) 리버스 코드 엔지니어링

- 소프트웨어 분야의 리버스 엔지니어링

 

(2) 리버싱 분석 방법

• 정적 분석: 파일의 겉모습을 관찰하여 분석
  
  • 파일 실행없이, 파일의 종류나 크기, 헤더 정보 등을 통해 내용을 확인한다
  • 디스어셈블러를 이용하여 내부 코드와 그 구조를 확인하는 것 또한 정적 분석의 범주에 들어갈 수 있다.
• 동적 분석: 파일을 직접 실행시켜, 그 행위를 분석하고 디버깅을 통하여 코드 흐름과 메모리 상태등을 자세히 살펴보는 방법
  • 파일, 레지스토리, 네트워크 등을 관찰하여 프로그램의 행위를 분석한다
  • 디버거를 이용하여 프로그램 내부 구조와 동작 원리를 분석할 수 있다

- 필자는 먼저 정적 분석을 통해 정보를 수집하면서 예측 후 동적 분석 방법을 수행한다고 함

- 리버싱 != 디버깅 //리버싱에는 많은 방법이 있다

---

1. Hello World 프로그램_ C++

//Visual Studio 2019 사용

 

(1) 실습을 위한 옵션 설정 

• 릴리즈 모드로 변경 (디버깅을 위해서)

 

• 프로젝트 > HelloWorld 속성 > 링커 > 고급 > 임의 기준 주소 "아니요"로 변경
  • 시작할 때 마다 주소가 변하는 것을 방지하기 위함 

 

 

(2) HelloWorld.cpp 

//codeblocks: 책이랑 똑같이 하면 에러 발생 (L 없애야 함)

#include "windows.h"
#include "tchar.h"

int _tmain(int argc, TCHAR* argv[])
{

    MessageBox(NULL,L"Hello World!", L"www.reversing.com", MB_OK);

    return 0;
}

 

 

(3) 실행 화면

 

• 지정된 경로에 HelloWorld.exe 생성확인 (릴리즈 파일안에 있는 exe 파일 사용)

 

• 이처럼 C언어 소스코드를 빌드하면, 실행파일(exe)가 생성된다. 이 과정은 결국 사람이 이해하기 쉬운 C언어 소스코드(cpp) 를 기계가 이해하기 쉬운 기계어(exe)로 변환하는 것이다. 
• 이런 기계어는 사람이 보기 어렵기 때문에 좀 더 편하게 보기 위해서 디버거 유틸리티를 사용한다. (기계어 -> 어셈블리)

---

2. 디버깅 

//immunity debugger 사용

 

 

(1) 디버거 실행화면 

//만약 위와 다른 창이 뜬다면 view > CPU 선택 

• Code Window: disassembly code 표시
  • 각종 comment, label을 보여줌
  • 코드를 분석하여 loop, jump 위치 등의 정보 표시
• Register Window: CPU register 값을 실시간으로 표시하며 특정 register들은 수정도 가능함
• DUMP Window: 프로세스에서 원하는 memory 주소 위치를 Hex와 아스키/유니 값으로 표시하고 수정도 가능함
• Stack Window: ESP register가 가르키는 프로세스 stack memory를 실시간으로 표시하고 수정도 가능함 

 

(2) Code Window

 

• Address(004014C0): 프로세스의 가상 메모리 내의 주소 
• Instruction(83EC 1C): IA32(또는 x86) CPU 명령어 
• Disassembled code(SUB ESP 1C): OP code를 보기 쉽게 어셈블리로 변환한 코드 //캡쳐화면 참고
• comment(*HelloWor.00401590): 디버거에서 추가한 주석  //option

---

3. EP (Entry Point)

• 윈도우 실행 파일의 시작점 (위 화면에서는 0040126C)
• CALL 명령: 호출
• JMP: 해당 주소로 이동

---

4. 디버거 사용법 

• Run - 끝까지 실행 : F9 
• Step Over - 하나의 OP code 실행 (CALL 명령을 만나면, 따라 들어가지 않고 그냥 함수 자체를 실행) :  F8
• Step Into - 하나의 OP code 실행(CALL 명령을 만나면, 그 함수 코드 내부로 따라 들어감) : F7
• Execute till Return - 함수 코드 내에서 RETN 명령어까지 실행(함수 탈출 목적) : Ctrl+F9
• Restart - 다시 처음부터 디버깅 시작 : Ctrl+F2 

디버거의 유용한 기능

(1) Go to [Ctrl+G]

- 원하는 주소로 이동 (코드/메모리를 확인할 때 사용) 

- 실행되는 것은 아님 

 

(2) Execute till Cursor(F4)

- cursor 위치까지 실행(디버깅하고 싶은 주소까지 바로 갈 수 있음)

​

(3) Comment (;)

- 주석(comment) 추가

​

(4) User-defined comment

- 마우스 우측 메뉴 Search for User-defined comment

​

(4) Label(:)

- Label 추가 (원하는 주소에 특정 이름 붙여줌)

​

(5) User-defined label

- 마우스 우측 메뉴 Search for User-defined label

​

(6) Set/Reset BreakPoint (F2)

- BP 설정/해제

​

(7) Run (F9)

- 실행 (BP가 걸려있으면 그곳에서 실행이 정지)

​

(8) Show the current EIP (*)

- 현재 EIP 위치를 보여준다.

​

(9) Show the previous Cursor (-)

- 직전 커서 위치를 다시 보여준다.

​

(10) Preview CALL/JMP address (Enter)

- 커서가 CALL/JMP 등의 명령어에 위치해 있다면, 해당 주소를 따라가서 보여줌

- 실행되는 것이 아님. 간단히 함수 내용을 확인할 때 유용함​

베이스캠프

디버거를 재실행하면 처음(EP)부터 새로 시작히기 때문에 상당히 불편하다.

따라서, 잘하는 리버서들은 디버깅을 진행하면서 중간중간 코드에서 분석을 원하는 중요 포인트(주소)를 지정해 놓은 후 그 포인트로 빠르게 갈 수 있는 방법을 잘 기록해둔다. 

​

베이스캠프를 설정하는 방법은 4가지가 있다.

 

(1) Goto 명령

• 베이스 캠프 주소를 잘 기억해두었다가 Go to 명령으로 간다

(2) BP(Break Point)

• BP를 설치(F2)하고, 실행하는 것 //가장 많이 사용됨

(3) 주석

•  ; 단축키로 주석을 달고, 이 주석을 찾아간다. 

(4) 레이블 

•  원하는 주소에 특정 이름을 붙여주는 아주 유용한 기능이다

---

5. 함수 따라가기

목표: main()함수에서 MessageBox()함수 호출을 확인하는 것

 

(1) Restart 

 

(2) F8(step over)을 계속 눌러보며 main()을 찾기 위해 노력한다. 

 

• 이 때, Call HelloWor.wmain을 실행하면 실행 창이 뜨므로 F7로 step into 하여 확인하기 
  • 이 함수 내부에서 코드로 작성한 문자열 등의 내용을 확인할 수 있다 (즉, main 함수 내부로 들어옴)

 

 

 

(3) 확인 누르고 F8 몇 번 누르면 프로그램 종료됨 

---

5. 원하는 코드를 빨리 찾아내는 방법

(1) 코드 실행 방법

- 프로그램의 기능이 명확한 경우에 명령어를 하나하나 실행하면서 원하는 위치를 찾아간다. 

- 크기가 작고, 기능이 명확한 경우에 사용가능

 

(2) 문자열 검색 방법

- 마우스 우측 메뉴 -> Search for -> All referenced text string

 

(3) API 검색- 호출 코드에 BP

- 윈도우즈 프로그래밍에서 모니터 화면에 뭔가를 출력하려면 Win32 API를 사용하여 OS에서 화면 출력을 요청해야 한다. 즉, 프로그램이 화면에 뭔가를 출력했다는 얘끼는 프로그램 내부에서 Win32 API를 사용하였다는 뜻입니다. 그렇다면 프로그램의 기능을 보고 사용되었을만한 Win32 API 호출을 예상하여, 그 부분을 찾을 수 있다면 디버깅은 매우 간편해질 수 있다. 

 

(4) API검색- API코드에 직접 BP

- 마우스 우측 메뉴-> Search for -> Name in all modules

- Ollydbg가 모든 실행 파일에 대해서 API 함수 호출 목록을 추출할 수 있는 것은 아니다. Packer/Protector를 사용하여 실행파일을 압축(또는 보호)해버리면, 파일 구조가 변경되어 OllyDbg에서 API 호출 목록이 보이지 않는다. 

- 이런 경우에는, 프로세스 메모리에 로딩된 라이브러리(DLL 코드)에 직접 BP를 걸어봐야 한다. API라는 것은 OS에서 제공하는 함수이고, 실제로 API는 <C:\Windows\system32> 폴더에 *.dll 파일 내부에 구현되어있다. 

- 간단히 말해서, 우리가 만든 프로그램이 어떤 의미 있는 일을 하려면 반드시 OS에서 제공된 API를 사용해서 OS에게 요청해야 하고, 그 API가 실제 구현된 시스템 DLL파일들은 우리 프로그램의 프로세스 메모리에 로딩 되어야 한다. 

 

---

6. "Helloworld" 문자열 패치 

목표: 메시지 박스에 표시되는 "Hello World!" 문자열을 다른 문자열로 변경하기

문자열을 패치하는 두 가지 방법

1. 문자열 버퍼를 직접 수정
2. 다른 메모리 영역에 새로운 문제열을 생성하여 전달

 

(1) 문자열 버퍼를 직접 수정

//이 방법은 전체 시스템의 안정성을 떨어뜨릴 수 있는 방법이므로 권장하지 않음

 

- 덤프 창에서 Goto 명령으로 문자열이 저장되어있는 주소인 00402124 주소로 이동 

• <덤프> 창에서 ctrl + g 해서 해당 주소로 이동 

 

ctrl + e 단축키를 통해 Edit 다이얼로그를 띄운다.

• keep size 해제
• 유니코드에 "Hello Reversing" 입력 -> OK

 

//유니코드의 문자열은 2바이트 크기의 NULL로 끝나야 한다는 것을 주의해야 함 

 

패치 성공

 

 

- 파일로 생성하기

•  변경한 내용 영구 보관을 위한 것 (디버거 종료하면 패치했던 내용 사라짐)
• dump창에서 변경된 부분 선택 후 마우스 우측 -> Copy to executable file -> Hex 창 나타나면 마우스 우측 -> Save file 선택 후 저장 

 

(2) 다른 메모리 영역에 새로운 문자열을 생성하여 전달 

끝 쪽 빈 칸 적당한 곳(Null Padding)에 문자열 입력해주기 

• 문자열은 00403090에 저장되어 있다. 

 

새로운 문자열을 입력한 버퍼 주소(403090)를 MessageBoxW 함수에 넘겨준다.

 

패치 성공