디버거 프로그램(Debugger)
기본적으로는 프로그램의 오류를 해명하고 그것을 해결하기 위한 목적으로 쓰이는 프로그램이다. 그것이 하는 일은 실행중인 프로세스를 기계어->어셈블리어로 번역해 표기하고 그를 통한 대상프로그램의 정밀한 분석 및 구조 개선이겠지만 우리들은 그 기능을 이용해 게임의 후킹 지점을 찾는 것(코드 파인드)이 주 용도로 쓰이게 된다.
디버거 프로그램의 종류로는 올리디버거, 이뮤니티 디버거, 윈디버거 등이 존재한다.
그 중에서 올리디버거에 대해 살펴보도록 하자.
올리디버거의 각 창은 이렇게 표기할 수 있다.
세그먼트
하나의 프로세스에 할당되는 특정 메모리 영역으로 크게 코드 세그먼트, 데이터 세그먼트, 스택 세그먼트가 존재한다.
코드 세그먼트
메모리상에 올라간 실행중인 프로세스의 기계어 코드가 존재하는 영역이다. 이 코드 세그먼트에 위치하는 코드에 의해
프로세스는 구동되어지는 것이다. 사진에서 보듯 기계어 명령이 나열되어있고 저것을 계단식으로 실행해 간다는 것이다.
가령 현재 프로시저가
00401000 55 PUSH EBP
를 수행하고 있다면
00401001 8BEC MOV EBP,ESP
그 다음으로 이것을 실행한다는 것이다.
데이터 세그먼트
메모리상에 올라간 실행중인 프로세스가 사용 중인 여러 데이터가 존재하고 있는 영역이다.
일반적으로 코드 파인드시 접하게 되는 대사들이 이 영역에 존재하게 된다.
올리디버거의 메모리 창은 사실 데이터 세그먼트 영역만이 아닌 스택, PE헤더 등등 모든 메모리 정보를 알 수 있도록 만들어져 있다.
이를 통해 보다 간단히 우리는 메모리의 정보를 파악할 수 있다.
스택 세그먼트
실행중인 프로세스가 임시로 어떠한 데이터를 저장할 필요가 있거나 함수가 사용할 각종 인자값이 오갈 때 사용되는 메모리 영역이다.
이 스택 메모리 구조는 전형적인 FILO(First In Last Out)이다. 즉 먼저 들어간 데이터가 나중에 나온다는 의미인데 예를 들어 설명하면
가 나 다 라 -> STACK -> 라 다 나 가
의 순서대로 데이터가 유동한다고 하는 것이다.
레지스터
CPU가 자체적으로 가지는 일종의 캐쉬 메모리다. 현세대 CPU에 있어서 각 레지스터는 32비트의 크기를 가지는 일종의 임시 메모리 공간이며 CPU는 이 임시 저장 공간을 통해 산술연산부터 주소 연산까지 많은 연산을 수행해 간다.
종류로는 범용 레지스터, 세그먼트 레지스터, 포인터 레지스터, 인덱스 레지스터, 플래그 레지스터가 존재한다. 여기서는 코드파인드에서 주로 쓰이게 되는 부분만을 조명하도록 하자.
범용레지스터
EAX, EBX, ECX, EDX의 네가지 레지스터로 구분되어진다. 이들 레지스터는 산술 연산 및 결과 값 저장 등 여러 가지 용도로 쓰이게 된다.
EAX
산술연산에 주로 사용되어지는 레지스터다. 대부분의 덧셈, 곱셈, 나눗셈 등의 산술연산에서 무조건 적으로 사용되어진다.
EAX는 32비트(4바이트)사이즈이며 그 전체를 사용 시에는 EAX로서 쓰인다.
16비트(2바이트)만을 사용 시에는 AX로서 쓰인다.
8비트(1바이트)만을 사용 시에는 AL 혹은 AH로서 쓰인다.
이런 식으로 구분되는 것을 기억하도록 하자.
EBX
EAX를 보조하는 산술연산에 사용되거나 여러 주소 연산에서 사용되어지는 레지스터이다.
EAX의 구조와 마찬가지로
32비트(4바이트)영역을 사용 시 EBX
16비트(2바이트)영역을 사용 시 BX
8비트(1바이트)영역을 사용 시 BL 혹은 BH로서 쓰인다.
ECX
ECX는 일반적으로 루프(Loop)의 반복횟수를 의미하는데 쓰이게 된다. 하지만 그것만이 용도는 아니고
많은 산술 연산 및 주소연산에도 공통으로 사용되게 된다.
32비트(4바이트)영역을 사용 시 ECX
16비트(2바이트)영역을 사용 시 CX
8비트(1바이트)영역을 사용 시 CL 혹은 CH로서 쓰인다.
EDX
EDX는 큰 수의 산술연산, 즉 32비트 레지스터간의 곱하기 등의 최대 레지스터 용량 범위를 넘어가는 .
연산을 보조하기 위해 사용되는 레지스터이다.
32비트(4바이트)영역을 사용 시 EDX
16비트(2바이트)영역을 사용 시 DX
8비트(1바이트)영역을 사용 시 DL 혹은 DH로서 쓰인다.
기본적으로 이상의 범용 레지스터들은 일단 그 사용 용도가 정해져있다고 하지만 실제로는 범용인지라
어떻게 어떤 형태로 사용 되도 이상하지 않다.
포인터(주소) 레지스터
포인터 레지스터에는 ESP,EBP, EIP 가 존재한다.
ESP
그 특성상 다음 강좌에서 설명하도록 하겠다.
단지 이것은 스택 메모리에 있어서 대단히 중요한 레지스터이다
EBP
그 특성상 다음 강좌에서 설명하도록 하겠다.
이 역시 스택 메모리에 관여하는 레지스터이다.
EIP
EIP는 다음에 수행되어야할 명령의 주소를 가리키고 있다. CPU는 이 EIP가 가리키는 주소에 의해서만 코드를 실행하게 되며 따라서 이것은 프로그래머가 임의로 변경할 수 없는 부분이기도 하다. 물론 디버거를 이용한 변경은 가능하지만 그 경우 어떤 문제가 일어날지 장담할 수 없게 된다.
인덱스 레지스터
인덱스 레지스터에는 EDI와 ESI가 존재한다.
이들 레지스터는 대부분이 문장 처리에 관여한다. 보통으로는 ESI가 소스주소를 EDI가 목적지 주소를 가리키는 데
이들 레지스터는 ESI(문장위치주소) -> EDI(문장을 옮길 주소)의 방식으로 사용되는 것이 일반 적이다. 하지만 그 외에도 가끔 산술연산에 사용되어지기도 한다.
플래그 레지스터
플래그 레지스터는 다시 두개의 분류로 구분 할 수 있다. 상태 플래그와 제어 플래그가 바로 그 것인데 코드파인드시 주로 보게 될 상태 플래그를 보도록 하자.
CF(Carry Flag)
연산 명령 실행 후 그 결과 값의 최상위비트(가장 왼쪽의 비트)에 덧셈에 의한 자리올림 혹은 뺄셈에 의한 빌림이 발생시 1로 세팅되어진다.
PF(Parity Flag)
연산 결과 값의 1비트들의 개수를 나타낸다. 그 개수가 짝수인 경우 1로 세팅되고 홀수인 경우 0으로 세팅된다.
AF(Auxiliary carry Flag)
특수화된 산술에서 세팅되어지며 주로 10진 연산처리 시 발생한다.
ZF(Zero Flag)
연산의 결과 값이 0일시 1로 세팅되어지고 0이 아닐시엔 0으로 세팅되어진다.
OF(Over Flag)
연산의 결과가 부호 발생 시 세팅되어진다.
플래그 레지스터의 경우는 설명을 듣는 것보다 직접 체감하는 것이 훨씬 와닿을 것이다. 사실 모든 게 다 그렇지만[...]
차후 vol.3에서는 간략한 예제를 통한 직접적인 구동 방식을 보도록 하자.
사실 여기까지 봤으면 대체 이게 뭐얔ㅋㅋㅋㅋ하고 있을게 뻔하다 못해 아주 눈에 서릴 지경이지만 다음의 직접 돌아가는 모습을 보면
어느정도 감이 잡힐 것이다. 따라서 이 상기 내용들을 꼭 외울 필요는 없고 이런 게 있다고만 알아두도록 하자.
이 강좌를 끝으로 아마 어지간해선 코드를 올리진 않겠지
혹여 질문이 있다면 리플을 달아둔다면 그 즉시 응답하도록 하겠다. ㅡㅡㅋ
머엉..........