리틀엔디언 표기법 / 레지스터 / 어셈블리 명령어 / 스택 프레임

1. 리틀엔디언 표기법

(1) 바이트 오더링

• 컴퓨터에서 메모리에 데이터를 저장하는 방식
• 빅 엔디언(Big Endian)과 리틀 엔디언(Little Endian) 두 가지 방식이 존재
• 빅엔디언 - 순서대로 표기
• 리틀 엔디언 - 역순으로 표기
  • intel x86 CPU(Windows 계열)이 사용

BYTE b = 0x12;  //0x.. -> 16진수
WORD w = 0x1234;
DWORD dw = 0x12345678;
char str[] = "abcde";

Type	Name	Size	빅 엔디언	리틀 엔디언
BYTE	b	1	[12]	[12]
WORD	w	2	[12][34]	[34][12]
DWORD	dw	4	[12][34][56][78]	[78][56][34][12]
char []	str	6	[61][62][63][64][65][00]	[61][62][63][64][65][00]

 

아스키 문자에서 'a'는 0x61과 같고, 문자열의 마지막은 null로 끝난다. 

(2) 디버깅하여 확인하기 

#include "windows.h"

BYTE b = 0x12;
WORD w = 0x1234;
DWORD dw = 0x12345678;
char str[] = "abcde";

int main(int argc, char *argv[]) {
	BYTE Ib = b;
	WORD Iw = w;
	DWORD Idw = dw;
	char  *Istr = str;
   
	return 0;
}

 

 

- main() 확인

exit 직전의 call이 main인 확률이 높음

main()함수를 찾기 쉽게 코딩하려면 printf 등을 넣으면 좋음

• 실행해보았을 때 exit 뜨기 전의 call을 들어가보면, 코드로 작성한 내용이 보인다.

 

- 바이트오더링 확인

• 403018 확인 (BYTE)
  • 바이트 타입의 b 변수를 저장할 때에는 입력한 그대로 저장이 됨 

 

• 403020 확인 (WORD)
  • 2바이트 이상의 크기를 가진 자료형을 저장할 때부터 리틀 엔디안 확인 가능  
  • 12 34가 아닌 리틀 엔디안 방식이기 때문에 역순으로 34 12로 데이터가 저장이 되어있다.
  • 리틀 엔디언이라도 바이트 자체는 정상적인 순서로 저장된다. 오로지 멀티 바이트 같은 경우 각 바이트가 역순으로 저장되는 것이다. 

 

• 40301c 확인 (DWORD)
  • DWORD 또한 리틀 엔디안 방식으로 78 56 34 12로 저장되어 있다.

 

• 403024 확인 (char)
  • abcde는 char이기 때문에 리틀엔디안과 빅엔디안 방식의 순서가 똑같다.
  • 문자열은 결국 캐릭터(char)의 배열이기 때문에 각 바이트를 하나씩 연속해서 저장하는 개념

---

2. 레지스터 

https://en.wikibooks.org/wiki/A-level_Computing/OCR/Unit_1.1.1_Structure_and_Function_of_the_Processor

 

- CPU 레지스터: CPU 내부에 존재하는 다목적 저장 공간

• CPU가 RAM에 있는 데이터에 엑세스하기 위해서는 물리적인 거리가 멀기 때문에 시간이 오래 걸림
• 따라서, CPU에 있는 레지스터를 통해 빠르게 데이터를 처리
• 레지스터 'CPU가 사용하는 변수' 라고 생각하면 편하다.

IA-32의 레지스터

각 레지스터들은 32비트이지만 상황에 따라 효율적으로 사용하기 위해 몇 개의 구획으로 나뉘어진다. 

예를 들어 32비트인 EAX는 중 16비트만 필요할 떄 하위 16비트인 AX를 사용할 수 있다.

AX는 또 상위 8비트 AH와 하위 8비트 AL로 나뉘어진다. 마찬가지로 8비트만 사용하고 싶다면 이들을 사용할 수 있다.

- Basic program execution registers

• 범용 레지스터(General Purpose) : 범용적으로 사용됨
  • 크기: 32비트 (4바이트)  
    • 주로 산술연산 등의 명령어에서 상수/변수 값의 저장용도로 사용
    • 어떤 명령어들은 특정 레지스터를 직접 조작하기도 함 (MUL, DIV 등) 
      • EAX (Extended Accumlator Regiser):  주로 산술 연산에 사용됨(함수 결과값을 저장하고 리턴값을 전달해줌)
        • 반복문 명령어(루프)에서 반복 카운트로 사용됨 //반복을 돌 때마다 ECX를 1씩 감소시킴 
        • 쉽게 생각하면 흔히 쓰는 변수를 생각하면 쉽고, 사칙연산 등에 자주 등장한다
        • 함수의 리턴값이나 return100, return Fa-lse 등의 코드를 사용할 때 return 뒤의 값이 EAX에 기록된다고 생각하면 된다.
      • ECX (Extended Count Register): 루프문을 수행할 때 카운팅하는 역할을 한다
        • for (int i; i < 10; i++) { .. } 의 i 역할이라고 생각하자
        • C/C++에서는 보통 0부터 특정 조건으로 루프를 돌리지만, ECX는 반대로 미리 루프를 돌 값을 정해두고 0까지 i-- 처럼 연산하는 것이 특징이다. 
        • 카운팅 할 필요가 없을 때는 일반 변수처럼 사용해도 무방하다
      • EDX (Extended Data Register): 일반 자료 저장 (입출력 동작에 사용)
        • 얘도 EAX처럼 변수라고 생각하면 쉬움
        • EAX와 역할 거의 같지만, 리턴값의 용도로 사용X
        • 곱하거나 더할 때 등 복잡한 연산이 필요할 때 덤으로 쓰이기도 한다
      • EBX (Extended Base Register): 베이스 레지스터, 특정 주소 저장
        
        • 별거 없다고 생각하면 됨
        • 어떤 목적을 가지고 만들어진 레지스터가 아님 
        • 레지스터가 하나 더 필요하거나 공간이 필요할 때 적당한 용도를 알아서 만들어 사용한다
        • EAX, EDX, ECX가 부족할 때 사용하기도 함 

• 인덱스 레지스터
  • 크기: 32비트(4바이트)  
  • ESI (Extended Source Index): 출발지 인덱스 (출발지 주소에 대한 값 저장)
  • EDI  (Extended Destination Index): 목적지 인덱스 (목적지 주소에 대한 값 저장)
    • 문자열이나 각종 반복 데이터를 처리 또는 메모리를 옮기는데 사용된다 
• 포인터 레지스터(Pointer Register)
  • 크기: 32비트(4바이트) 
  • 스택은 높은 주소 부터 낮은 주소로 쓰여지는 특징을 가진다. (즉 높은 주소에 먼저 데이터가 들어간다.)
  • EBP (Extended Base Pointer): 현재 스택의 가장 낮은 위치에 있는 데이터를 가르키는 포인터
  • ESP (Extended Stack Pointer): 현재 스택의 가장 높은 위치에 있는 데이터를 가르키는 포인터
    • 어떤 명령어들은 ESP를 직접 조작하기도 함 
    • ESP는 매우 중요하므로, 다른 용도로 사용하면 안됨
    • 여기서 말하는 가장 높은 위치가 큰 주소를 의미하는 것이 아님 (가장 높은 위치는 오히려 작은 주소 일 것)
      

      

      https://velog.io/@ilhoon93

  • EIP (Extended Instructure Pointer): 다음에 수행할 명령의 주소 저장  
    
    • CPU는 EIP에 저장된 메모리 주소의 명령어를 하나 처리하고 난 후 자동으로 그 명령어 길이만큼 EIP를 증가시킨다. 
    • 범용 레지스터와는 다르게 EIP는 그 값을 직접 변경할 수 없도록 되어있어서 다른 명령어를 통해서 간접적으로 변경해야 함 
      • 변경하려면 JMP, CALL 등을 사용하거나 인터럽트, 예외를 발생해야 함
•  세그먼트 레지스터
  • 16비트 (2바이트)  
    • 세그먼트: IA-32의 메모리 관리 모델에서 나오는 용어
      
      • IA-32 보호 모드에서 세그먼트란, 메모리를 조각내어 각 조각마다 시작 주소, 범위, 접근 제한 등을 부여해서 메모리를 보호하는 기법을 의미함 
      • 세그먼트는 페이징 기법과 함께 가상 메모리를 실제 물리 메모리로 변경할 때 사용됨
      • 세그먼트 메모리는 SDT라고 하는 곳에 기술되어있는데, 세그먼트 레지스터는 바로 이 SDT의 index를 가지고 있다
      • CS, SS. DS, ES, FS, GS

• EFLAGS: 플래그 레지스터
  • 크기: 32비트(4바이트)
  •  각 비트는 1 또는 0의 값을 가지고 있으며, 이는 On/Off 또는 True/False 를 의미함
    • Zero Flag(ZF): 연산 명령 후에 결과값이 0이 되면, ZF가 1(True)로 세팅됨
    • Overflow FLag(OF): 보호 있는 수의 오버플로우가 발생했을 경우 1로 세팅됨. 그리고 MSB(Most Significant Bit)가 변경되었을 떄 1로 세팅됨
    • Carry Flag(CF): Unsigned integer 의 오버플로우가 발생했을 때 1로 세팅 

---

3. 어셈블리 명령어

(1) 구문

	intel	AT&T
레지스터 표현	EAX	%eax
값의 표현	AABBCCDDh 또는  0xAABBCCDD	%0xAABBCCDD
명령어 크기 표현	MOV	movl (long형) movb (byte형)
메모리 주소	[주소]	(주소)
오퍼랜드 방향	목적지(dst) <- 소스(src)	소스(src) -> 목적지(dst)

 

(2) 데이터 이동 명령어

• MOV dst, src : 목적지로 값을 저장 //뒤의 값(src)을 dst에 저장 
  • MOV eax, ebx : EBX의 값을 EAX에 복사하여 저장
  • MOV eax, 0x42 : 0x42(16진수)를 EAX에 저장 
  • MOV eax, [ebx]  : 주소[ebx]에 있는 값을 eax에 저장 
• LEA dst, src : 메모리 주소를 목적지에 저장 
  • LEA EAX, [EBX+8] : EBX에 8을 더한 주소값을 EAX에 저장 
• PUSH/POP : 스택에 데이터를 넣음 / 꺼냄,
  • EBP 감소 / 증가 (EBP: 스택의 제일 낮은 주소를 가르킴)
  • PUSH EBP
  • POP EAX

(3) 산술 연산 명령어

• ADD dst, src : 뎃셈 (dst = dst + src)
  • dst에 src 값을 더한다.
  • ADD eax, 3 : eax = eax + 3
• SUB dst, src :  뺄셈 (dst = dst - src) 
  • dst에서 src의 값을 뺀다.
  • SUB EAX, 3 : EAX = EAX - 3
• INC op : 오퍼랜드의 값을 1 증가 (op = op + 1)  
  
  • INC EAX : EAX = EAX  + 1
• DEC op : 오퍼랜드의 값을 1 감소 (op = op - 1)
  • DEC EAX : eax = eax - 1
• MUL(부호)/IMUG(무부호) op : EAX에 오퍼랜드를 곱셈하여 EAX에 저장 (EAX = EAX * op)
  • MUL ECX: EAX = EAX * ECX
• DIV(부호)/IDIV(무부호) op : EAX에 오퍼랜드를 나누어 몫을 EAX에 저장 (나머지는 EDX에 저장)
  • DIV EDX: EAX = EAX / EDX 
• NEG : 양수를 음수로, 음수를 양수

(4) 비트 연산 명령어

• AND dst, src 
  • dst와 src의 비트가 모두 1이면 1, 아니면 0을 하여 dst에 값을 쓴다.
• OR dst, src
  • dst와 src의 비트 중 하나라도 1이면 1, 아니면 0을 하여 dst에 값을 쓴다.
•  XOR dst, src
  • dst와 src의 비트가 서로 다르면 1, 같으면 0 하여 dst에 값을 쓴다. 
• NOT op
  • op의 비트 전부 반전
• SHL
  • 왼쪽으로 쉬프트 연산
  • 최상위 비트는 0으로 채워지고 기존값은 CF 플래그 레지스터에 저장 
• SHR
  • 오른쪽으로 쉬프트 연산
  • 최상위 비트는 부호비트로 채워지고 CF 플래그 레지스터에 저장 
• ROL/RCL
  • 왼쪽으로 쉬프트 연산, 최하위 비트는 최상위 비트로 채워짐 
• ROR/RCR
  • 오른쪽으로 쉬프트 연산, 최상위 비트는 최하위 비트로 채워짐 

(5) 제어 명령

• CMP : 두 개의 오퍼랜드 비교 (뺄셈 연산 후 플래그 설정)
  • CMP EAX, 0 : EAX의 비트가 0인지 검사
  • Zero Flag (ZF): 연산 결과가 0이면 이 플래그가 설정된다. (0일 때, 1) 즉, 값이 같으면 ZF가 1이 됨
  • CMP EAX, 0에서 EAX가 0이면 ZF는 1이 된다.
  • Sign Flag (SF): 연산 결과의 최상위 비트(부호 비트)에 따라 설정된다. 결과가 음수면 SF는 1이 된다.
  • Overflow Flag (OF): 연산에서 부호 있는 오버플로가 발생했을 경우 이 플래그가 설정된다.
  • Carry Flag (CF): 무부호 수로 계산했을 때 오버플로가 발생하면 CF가 설정된다.
• TEST : 두 개의 오퍼랜드 비교 (AND 연산 수행 후 플래그를 설정)
  • TEST EAX, 0 :  EAX의 비트가 0인지 검사
• CALL : 해당되는 주소의 함수를 호출하여 수행 코드 위치로 옮김
  • CALL 00401990
• INT : 오퍼랜드로 지정된 예외 처리 수행 
  • INT 3 : 디버거를 활성화하는 데 사용되는 인터럽트. 주로 디버깅 중에 프로그램 실행을 중지하기 위해 사용된다.
• LEAVE : 함수에서 사용된 지역변수 스택을 비움
  • 주로 스택 프레임 정리할 때 사용
  • 함수의 마지막 부분에서 사용되어 함수의 로컬 변수 공간을 정리하고 이전 스택 프레임으로 복귀한다.
• RET : 스택에 저장된 주소로 복귀
  • • RET: 단순히 함수에서 반환.
    • RET 4: 함수에서 반환하고 스택 포인터를 4바이트만큼 추가 조정 (예: 4바이트 인수를 전달받은 경우).
• NOP : 아무동작도 수행하지 않음 (기계어 코드: 0x90) 

(6) 분기 명령

• JMP (Jump): 무조건 EIP 값으로 점프
• 조건부 점프: 이러한 명령어들은 CPU의 플래그 상태(Zero Flag, Carry Flag 등)에 따라 EIP 주소값으로 점
  • JE (Jump if Equal): Zero Flag가 설정되어 있으면 점프 (ZF = 1)
  • JNE (Jump if Not Equal): Zero Flag가 클리어되어 있으면 점프 (ZF = 0)
  • JG (Jump if Greater): Signed 비교에서 크면 점프
  • JGE (Jump if Greater or Equal): Signed 비교에서 크거나 같으면 점프
  • JL (Jump if Less): Signed 비교에서 작으면 점프
  • JLE (Jump if Less or Equal): Signed 비교에서 작거나 같으면 점프
  • JC (Jump if Carry): Carry Flag가 설정되어 있으면 점프
  • JNC (Jump if No Carry): Carry Flag가 클리어되어 있으면 점프
  • JECXZ : ECX가 0이면 점프

MOV EAX, value1
CMP EAX, value2   ; EAX와 value2를 비교
JE equal_label    ; EAX와 value2가 같으면 equal_label로 점프
; 여기는 EAX와 value2가 다를 때 실행될 코드
...
equal_label:
; EAX와 value2가 같을 때 실행될 코드
...

(7) 반복 명령

• REP : ECX 레지스터 지정 횟수 또는 ZF 플래그 조건에 맞을 동안 반복
  • REP : ECX가 0이 될 때까지 반복
  • REPE, REPZ : ECX가 0이거나 ZF가 0일 때까지 반복
  • REPNE, REPNZ : ECX가 0이 아니거나 ZF가 1일 때까지 반복
• LOOP [주소] : ECX 레지스터(카운터)를 1 감소시키고, ECX가 0이 아니면 주어진 주소나 레이블로 점프합니다.
• LOOPE/LOOPZ (Loop while Equal/Loop while Zero) [주소] : ECX를 감소시키고, Zero Flag가 설정되어 있으며 ECX가 0이 아닐 때 주어진 주소나 레이블로 점프합니다.
• LOOPNE/LOOPNZ (Loop while Not Equal/Loop while Not Zero) [주소]: ECX를 감소시키고, Zero Flag가 클리어되어 있으며 ECX가 0이 아닐 때 주어진 주소나 레이블로 점프합니다.

---

4. 스택 

(1) 스택 메모리의 역할

• 함수 내의 로컬 변수 임시 저장
• 함수 호출 시 파라미터 전달
• 복귀 주소(return address) 저장

(2) 스택의 특징

- FILO (First In Last Out) 

• PUSH 방향: 스택의 바닥에서 위로
• POP 방향: 스택의 위에서 바닥으로 

스택은 바닥의 주소값이 가장 크다 

 

(3) 스택 동작 예제 

 

- 초기 상태의 스택 

• ESP(스택 포인터): 19FF74 

//궁금한 점: ESP와 EBP의 시작값이 왜 다르지?? 

= 스택에 다른 게 들어있을 수 있음(리턴이나 이런게 보통 들어있음 일반적으로 스택이 비어있는 경우는 거의 없다) 

 

- F8: Push 100 명령 실행 

• 스택에 정수 100을 push해줌 (값을 넣어줌)
• ESP: 19FF70 (4바이트 감소)
  • 4바이트: 데이터의 크기 (정수의 크기 = 4바이트)
• 스택 포인터가 가르키는 주소(19FF70)에는 PUSH명령에 의해 100이 저장되어있음 
  • 스택에 값을 저장했고 ESP는 스택의 가장 위쪽을 가르키기 때문 
• 즉, 값을 집어 넣음 = ESP 가 가장 최상단으로 이동함
  • ESP가 4만큼 줄어듦
  • 스택은 위로갈수록 주소값이 작아짐 (큰 -> 작)

 

- F8: POP EAX

• 스택에서 데이터를 제거하고, 그 값을 eax 레지스터로 옮김
• ESP: 19FF74 (4 바이트 증가) 
• 스택에서 값을 꺼냄
  • ESP는 아래 방향으로 이동 => ESP 4바이트 증가
• eax 레지스터에는 100이 저장됨 

 

 

스택에 값을 입력하면 스택 포인터(ESP)는 감소하고, 스택에서 값을 꺼내면 스택 포인터는 증가한다. 

스택 포인터의 초기값은 스택 메모리의 아래쪽에 있다. 

---

5. 스택 프레임 

(1) 스택 프레임

- 스택 포인터(ESP)가 아닌 베이스 포인터(EBP) 레지스터를 사용하여 스택 내의 로컬 변수, 파라미터, 복귀 주소에 접근하는 기법

• ESP 레지스터의 값은 수시로 변경되기 때문에 스택에서 저장된 변수, 파라미터에 접근하고자 할 때 ESP값을 기준으로 하면 프로그램을 만들기 힘들고, CPU가 정확한 위치를 참고할 때 어려움이 있음
• 따라서, 함수 시작의 ESP 값을 EBP에 저장하고 유지해주면 ESP 값이 변하더라도 EBP를 기준(base)으로 안전하게 함수의 변수, 파라미터, 복귀 주소에 접근할 수 있다.

​

(2) 스택 프레임의 구조

• PUSH EBP ​= 함수 시작 (EBP를 사용하기 전에 기존의 값을 스택에 저장)
• MOV EBP, ESP ​= 현재의 ESP를 EBP에 저장
• . . . = 함수의 본체 // 여기서 ESP가 변경되더라도 EBP가 변경되지 않으므로 안전하게 로컬변수와 파라미터를 엑세스할 수 있음
• MOV ESP, EBP = ESP를 정리 (함수 시작했을 때의 값으로 복원)
• POP EBP ​= 리턴되기 전에 저장해 놓았던 원래 EBP 값으로 복원
• RETN = 함수 종료

 

(3) 실습 - stackframe.exe

#include "stdio.h"

long add(long a, long b)
{
    long x = a, y = b;
    return (x + y);
}

int main(int argc, char* argv[])
{
    long a = 1, b = 2;
    
    printf("%d\n", add(a, b));

    return 0;
}

 

 

#1 main() 함수 시작, 스택 프레임 생성 

int main(int argc, char* argv[])
{

 

- main() 함수에서 EBP가 베이스 포인터 역할을 하게 되므로 EBP가 이전에 갖고 있던 값을 스택에 백업해두기 위한 것

 

push EBP (EBP값을 스택에 넣어라)

 

- 스택에 저장된 함수 파라미터와 로컬 변수들은 EBP를 통해 엑세스하겠다는 것이다

 

MOV EBP, ESP (ESP 값을 EBP로 옮겨라)

 

-> 이 두 명령어에 의해 main()함수에 대한 스택 프레임이 생성된 것이다. 

 

* 스택 창을 선택 후 address -> Relative to EBP 선택하여 EBP 위치 확인 가능 

 

- EBP 값은 0019FF28로 ESP와 동일하고,19FF28 주소에는 19FF70 이라는 값이 저장되어 있다.

(main()함수 시작할 때 EBP가 가지고 있던 초기값)

 

#2 로컬 변수 세팅 

 long a = 1, b = 2;

SUB ESP,8 (ESP 값에서 8을 뺴라)

 

- 현재 ESP: 0019FF28 -> 19FF20

- 8을 빼는 이유: 함수의 로컬 변수는 스택에 저장되는데, main()함수의 로컬 변수는 각 'a'와 'b'이다. 그러나 'a'와 

'b'는 long 타입이므로 각 각 4바이트씩 가진다. 즉, 이 두변수를 스택에 저장하기 위해 총 8바이트가 필요하므로 두 변수에게 필요한 메모리 공간을 확보(예약)한 것이다.

 

 

 

- DWORD PTR SS:[EBP-4]): EBP-4 주소에서 4바이트 크기의 메모리 내용 //포인터

=> '[EBP-4] 에는 1을 넣고 (a) , [EBP-8]에는 2를 넣어라' (b)

 

#3 add() 함수 파라미터 입력 및 add() 함수 호출

 printf("%d\n", add(a, b));

 

• 위 어셈블리 코드는 전형적인 함수 호출 과정을 보여준다
  • 40103C 주소의 CALL 401000 명령어에서 401000 함수가 바로 add()함수이다
  •  add()함수는파라미터로 a와 b를 받는다
  • 위 401034~40103B주소의 코드에서 변수 a,b를 스택에 넣고 있다

* 주목할 내용은 파라미터가 C 언어의 입력 순서와는 반대로 스택에 저장된다는 것이다. (이를함수파라미터의 역순저장이라고 함)

즉, 변수 b ([EBP-8])가 스택에 먼저 들어가고 변수 a ([EBP-4])가 나중에 들어간다. 

 

 

#5 복귀 주소

 

 

- CALL 명령어가 실행되어 해당 함수로 들어가기 전에 CPU는 무조건 해당 함수가 종료될 때 복귀할 주소를 스택에 저장한다

 

 

#6 add() 함수 시작, 스택 프레임 생성

long add(long a, long b)

 

// F7로 해당 함수 들어가기

 

- main()과 완전히 동일함 

 

 

#7 add() 함수의 로컬 변수 x, y 세팅

long x = a, y = b;

 

• 로컬 변수의 x, y에 대한 메모리 영역 확보
• [EBP+8]: 파라미터 a
• [EBP+C]: 파라미터 b
• [EBP-8]: add() 함수의 로컬 x
• [EBP-4]: add() 함수의 로컬 y

 

 

 

#8 ADD

return (x + y);

 

• [EBP-8]의 변수 x의 값 1을 MOV 명령어를 사용해 EAX로 넣는다
• [EBP-4]의 변수 y의 값 2을 ADD 명령어를 사용해 EAX의 값 1과 더해 3이 되었다
• EAX는 '범용 레지스터'로 산술 연산에 사용되며, 리턴 값으로도 사용된다

 

#9 add() 함수의 스택 프레임 해제 & 함수 종료(리턴)

    return (x + y);
}

 

• add() 함수가 리턴되기 전에 add()함수의 스택 프레임을 해제해야 한다
• 현재 EBP 값을 ESP에 대입한다 //이 명ㅇ령어는 앞의 MOV EBP, ESP 명령어에 대응하는 것이다
• 즉 add() 함수 시작할 때의 ESP값을 EBP에 넣어두었다가 함수가 종료될 때 ESP를 복원시키는 목적으로 사용된다
• add() 함수가 시작되면서 스택에 백업한 EBP값을 복원한다 //PUSH EBP에 대응 
  • 이제 add() 함수의 스택 프레임은 해제되었다 
• RETN 명령어를 실행시켜주면 스택에 저장된 복귀 주소로 리턴한다 //RETN

   

#10 add() 파라미터 제거 

#11 printf() 함수 호출 

 printf("%d\n", add(a, b));

• ADD ESP, 8
  • ADD 명령으로 ESP에 8을 더하고 있다
  • add() 함수가 종료되었기 때문에 파라미터 a, b 가 필요가 없다
  • 따라서 8을 더해 스택을 정리하는 것이다
• EAX 레지스터에는 add() 함수에서 저장된 리턴 값(3)이 들어있다
• printf() 함수의 파라미터 개수는 2개이고 크기 역시 8바이트이다
• 따라서 ADD ESP, 8 명령으로 스택에서 함수 파라미터 정리하고 있다

#12 리턴 값 세팅

#13 스택 프레임 해제 & main() 함수 종료

  return 0;
}

• XOR 명령어는 Exclusive OR bit 연산으로, 같은 값끼리 XOR하면 0이 되는 특징이 있다
• MOV EAX, 0 명령어보다 실행 속도가 빨라서 레지스터를 초기화시킬 때 많이 사용된다

 

#14 올리디버거 옵션 변경

 

 

** 이뮤니티 디버거에서는 Disasm 옵션이 없음 

 

출처: 리버싱 핵심원리

https://www.coupang.com/vp/products/20513510?itemId=80685091&vendorItemId=3313494308&q=%EB%A6%AC%EB%B2%84%EC%8B%B1+%ED%95%B5%EC%8B%AC%EC%9B%90%EB%A6%AC&itemsCount=36&searchId=86c7f2eaddb9418190d15dfe62ab3c05&rank=1&isAddedCart=

리버싱 핵심 원리:악성 코드 분석가의 리버싱 이야기