[Immunity Debugger] sum.exe 파일 분석

 📌 분석 실습 보고서 작성

1. 메인함수 찾기
2. 서브함수 찾기
3. 레지스터(EAX, EIP) 변경 확인
4. 스택(RETURN주소 등) 변경 확인

 

 📌 소스 코드 및 분석 방법 설명

소스 코드: sum.c

#include <stdio.h>

int sum(int a, int b) {
	return a + b;
}

int minus(int a, int b) {
	return a - b;
}

int main() {
	int x = 9;
    int y = 7;
    printf("sum: %d \n", sum(x, y));
    printf("minus: %d \n", minus(x, y));
}

sum.c를 컴파일하여 실행 파일로 만듭니다.

그 이후 sum.exe를 Immunity Debugger에서 실행 시킵니다.

 

 

 1️⃣ 메인함수 찾기

처음 sum.exe 파일을 실행시키면 이런 화면이 뜬다.

step over(F8)로 넘어가다 보면 4번째 줄의 CALL sum.00401000을 만난 후

터미널에 결과가 나오고 함수가 종료된다.

그럼 CALL sum.00401000에 break point를 걸고 재시작(ctrl+F2) 후

해당 명령어에서 step into(F7)을 해서 해당 함수 안으로 들어간다.

그러면 해당 화면이 나온다. 여기서 main 함수로 추정되는 명령에서 step over를 하면서 터미널에 값이 나오는지 확인한다.

이 두 함수를 실행해도 터미널에 결과값이 나오지 않으니 main 함수가 아닌 걸 알 수 있다.

Step over로 넘어가다가 CALL sum.00401368을 만나 실행하면

터미널에 결과값이 출력된다. 그러므로 sum.00401368이 main 함수이다.
해당 명령어에 break point를 걸고 재시작 후 step into(F7)을 해서 main 함수로 들어간다.

 

 

 2️⃣ 메인 함수 실행 후 스택, 레지스터 값 확인

Main 함수로 들어가면 먼저 return해야하는 주소를 스택에 쌓고 처음에 원래의 EBP값을 스택에 push해준다.

그리고 원래의 ESP값을 새롭게 EBP값으로 지정해준다.

이 EBP값은 해당 함수만의 EBP값이다. 이후 EBP값을 16진수 20만큼 늘려 놓는다.

이는 변수를 저장해 놓는 곳을 확보하는 것이다.
실제로 immunity debugger에서 보자면

아까 main함수 다음 명령어 주소인 004010FD가 main 함수가 실행되자 마자 스택에 쌓이는 것을 볼 수 있다.

또한 6, 7번째 줄을 실행시키면 int x = 9, int y = 7인 코드가 실행되며 스택에 쌓이게 된다.

레지스터 값은 명령어에 따라 바뀌게 된다.

여기서 중요한 점은 스택에 9, 7 순으로 쌓였는데 스택은 LIFO 구조이므로 7이 먼저 EAX에 들어간다는 것이다.

EIP값은 늘 바로 이후에 실행할 명령어 주소를 담고 있다.

 

 

 3️⃣ 서브  함수 찾기 (sum, minus)

서브 함수도 메인 함수 찾는 것과 같이 터미널을 확인하며 진행한다.

서브 함수(sum, minus) 찾는 것은 비교적 쉬웠는데, 오른쪽에 보면 프린트문이 나와있는 것을 볼 수 있다.

역시나 해당 코드까지 실행해보니 터미널에 sum()과 minus() 결과값이 나왔다.

서브 함수인 sum(), minus()에도 breakpoint를 걸고 step into(F7)로 레지스터와 스택의 변경을 확인해보도록 한다.

 

 

4️⃣ 서브 함수의 레지스터 스택 값 확인

먼저 sum() 함수에서 step into(F7)로 들어간다. 일단 돌아 가야 할 리턴 주소 값을 스택에 넣는다.

이후 main함수 실행했던 것과 같이 원래의 EBP값은 스택으로, 원래의 ESP값을 새로운 EBP값으로 넣어주는 것을 볼 수 있다.

sum함수를 실제로 계산하는 부분은 5번째 줄이다. 그 전에 EDX에 9를, EAX에 7을 넣는 작업을 한다.

이것은 4번째 줄까지 실행시킨 후의 레지스터 값이다.

5번째 줄을 실행하면 EAX, EDX를 더해 다시 EAX에 저장한다.

EIP값은 여전히 늘 다음 명령어를 가리킨다.

헷갈리지 말아야할 점은 현재 실행되고 있는 명령어가 아니라 다음에 실행할 명령어라는 것이다.

예를 들어,

이렇게 0030125B POP EBP를 수행하면 밑에 줄에 파란 줄이 생기고

레지스터에는 이렇게 나온다.

EIP값이 파란 줄 주소와 같으므로 혼란이 올 수 있는 점을 유의한다.

sum()에서 RETN을 만나서 나온 후 print문을 만나면 터미널에 출력된다.

 

minus함수도 sum함수와 비슷하게 작용한다.

여기서 minus()함수인 CALL sum.0040135D에서 step into(F7)을 한다.

sum()과의 차이점은 EDX를 사용하지 않는다는 것이다. 순서대로 레지스터 값을 보면

이런 식으로 해당 명령어에 따라 ESP, EBP, EAX가 변화하고 EIP는 다음 실행할 명령어로 계속 바뀐다.

스택 값은 sum과 똑같이 작용한다. 하나만 보자면

처음 minus 실행하면 리턴 값이 스택에 쌓이게 된다.

리턴 후 print문을 만나면 터미널에 출력된다.

이후 step over(F8)로 실행하다가 ExitProcess를 만나면 종료된다.

 

 📌 느낀 점

 자료구조 때 배웠던 스택의 특징을 어셈블리어를 통해 실습할 수 있었다.

실행 파일이다 보니 이미 실행한 코드 한 줄을 다시 되돌릴 수가 없어서 다시 재시작 후 처음부터 봐야해서 귀찮았다 ,,

Immunity Debugger도 처음 사용해봤는데, 파란 줄로 뜨는 것이 현재 실행한 코드가 아닌 다음 실행할 코드인 게 상당히 헷갈렸다. 이럴 땐 EIP를 꼭 참고하는 걸로 !