Programming/Assembly2012. 1. 23. 14:02

[인텔 기반 컴퓨터를 위한 어셈블리 언어 5판]연습문제 풀이 4장



"인텔 기반 컴퓨터를 위한 어셈블리 언어 5판" 은 어제부터 시작한 어셈블리 교재입니다.

공부하면서 풀은 연습문제입니다.

1~4는 별로 필요가 없어보여서... 5~8번 문제만 풀었습니다.


5번 - 직접 오프셋 주소 지정

TITLE 4.7.5 eaxmple

;4.7.5-1
;5.1 직접 오프셋 주소지정


INCLUDE Irvine32.inc
.data
Uarray WORD 1000h, 2000h, 3000h, 4000h
Sarray SWORD -1, -2, -3, -4

.code
main PROC
movzx eax, Uarray
movzx ebx, (Uarray+2)
movzx ecx, (Uarray+4)
movzx edx, (Uarray+6)
call DumpRegs
exit
main ENDP
END main
  

5번 - 직접 오프셋 주소 지정 - 2
TITLE 4.7.5 eaxmple

; 4.6.5-2
;5.2 직접 오프셋 주소지정

INCLUDE Irvine32.inc
.data
Uarray WORD 1000h, 2000h, 3000h, 4000h
Sarray SWORD -1, -2, -3, -4

.code
main PROC
movsx eax, Sarray
movsx ebx, (Sarray+2)
movsx ecx, (Sarray+4)
movsx edx, (Sarray+6)
call DumpRegs
exit
main ENDP
END main 
 
6번 - 피보나치 수
TITLE 4.7.6 eaxmple

; 4.6.6
; Fibonacci
; 피보나치 수 12항 까지

INCLUDE Irvine32.inc
.data
first BYTE 1
second BYTE 0
sum BYTE ?

.code
main PROC

movsx ebx, first
movsx edx, second
mov ecx, 12
L1:
mov eax, ebx
add eax, edx
call DumpRegs

mov bl, dl
mov dl, al

loop L1
exit
main ENDP
END main
  
7번 - 산술식
TITLE 4.7.7 eaxmple

; 4.6.7
; 산술식
; EAX = -val2 + 7 - val3 + val1

INCLUDE Irvine32.inc
.data
val1 SDWORD 8
val2 SDWORD -15
val3 SDWORD 20

.code
main PROC
mov eax, val2 ; EAX = FFFFFFF1h
neg eax ; EAX = Fh
add eax, 7 ; EAX = 16h

mov ebx, val3 ; EAX = 16h, EBX = 14h
neg ebx ; EAX = 16h, EBX = FFFFFFECh

add eax, ebx ; EAX = 2h

add eax, val1 ; EAX = Ah

call DumpRegs
exit
main ENDP
END main
 


8번 - 문자열의 역방향 복사
TITLE 4.7.8 eaxmple

; 4.6.8
; 8. 문자열의 역방향 복사



INCLUDE Irvine32.inc
.data
source BYTE "This is the source string", 0
target BYTE SIZEOF source DUP('#')
.code
main PROC
xor esi,esi ; esi 초기화
mov esi, OFFSET source ; source 주소를 esi에 넣는다.
add esi, SIZEOF source ; esi가 source의 오프셋에 source 길이를 더한다.
dec esi ; 그럼 1 byte가 넘어가게 되는데 이걸 다시 빼준다.
xor edi, edi ; edi 초기화
mov edi, OFFSET target ; target 주소를 edi에 넣는다.
mov ecx, LENGTHOF source ; ecx(loop count)에 source의 길이를 넣는다.

L1: ; loop L1
mov al, [esi] ; [esi], 즉 source 주소지에 있는 값을 al 로 복사한다.
mov [edi], al ; al, 의 값을 [edi], target 주소이제 복사한다.
inc edi ; edi 주소를 1 증가시킨다.
dec esi ; esi 주소를 1 감소시킨다.
loop L1 ; L1 으로 돌아가라
mov esi, OFFSET target ; target 주소를 esi에 넣어라
mov ebx, 1 ; ebx에 1을 넣어라. DumpMem 에서 사용할 값 - byte format
mov ecx, SIZEOF target ; target의 크기(SIZE * LENGTH)를 ecx 에 넣어라.
call DumpMem ; DumpMem 호출.

exit
main ENDP
END main
 







이 중에서 8번은 약간 헤깔립니다..
뭔가 비효율적으로 코딩한거 같은데...
흠...........
 
저작자표시

'Programming > Assembly' 카테고리의 다른 글

[인텔 기반 컴퓨터를 위한 어셈블리 언어] 문자열을 역순으로 배치하기  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어] GetMSeconds를 이용한 성능 시험  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어] 난수(Random) 생성  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어] 5.3.3 라이브러리 테스트 프로그램  (0) 2012.01.23
Visual Studio 2010 MASM 환경 설정  (1) 2012.01.23
Posted by NullBr4in
Programming/Assembly2012. 1. 23. 01:58

Visual Studio 2010 MASM 환경 설정



리버싱을 공부하면서 계속 어셈블리어에 대한 기초가 약하다고 느꼈었는데 

이번에는 시간 내서 기초를 잡고 가기로 마음 먹었습니다.

먼저 설치 전에 Irvine library 를 설치해주세요

이건 첨부파일에 첨부해놨습니다.

Irvine.zip

AsmHighlighter1_5.vsix

같이 첨부된 AsmHighlighter1_5.vsix 파일은 Visual Studio 에서 asm 코딩 할 때 보기 좋게 색을 넣어줍니다.



Visual Studio 2010 에 MASM 설정하는 것으로 시작해 보겠습니다. 
 



1. 먼저 첨부 파일을 받아서 압축을 풀어줍니다. 저는 C:\Irvine 폴더에 압축을 풀었습니다.


2. Visual Studio 2010 을 키신후, File -> New -> Project 를 하여 새로운 Project 를 추가합니다.


3. 'Win32 Console Application" 을 선택해주시고 이름은 아무거나 넣어주시고 OK를 눌러주세요. 저는 "asmtest"라고 넣었습니다.


4. 처음에 뜨는 창에서 "Next"를 눌러줍니다.


5. "Empty project" 에 체크하여 빈 프로젝트를 생성합니다.


6. 프로젝트가 생성되었으면, 생성 된 프로젝트에서 마우스 오른쪽 버튼을 누르시고 "Build Customizations"를 선택해 줍니다.


7. 그림에서 보이는 부분처럼 masm 에 체크를 해줍니다.


8. 이제 소스 파일을 생성해봅시다. Source File 폴더에서 마우스 우측 버튼 누른 다음 Add->New Items 를 선택해줍니다.


9. 위와 같은 창이 뜨는데, 여기서 "Utility" 에 있는 "Text File"을 선택해주고 이름을 넣습니다. 여기서 주의할 점은 확장명은 ".asm"


10. 소스 추가가 끝나셨으면 다시 프로젝트를 누르시고 우측 버튼을 눌러서 "Properties"를 눌러줍니다.


11. "Configuration Properties"->"Linker"->"General" 순서대로 들어가시면 "Additional Library Directories"가 있습니다.
     여기에 아까 설치한 Irvine library의 경로를 넣어주시면 됩니다.


12. "Configuration Properties" -> "Linker" -> "Input" 으로 들어가신다음에 "Additional Dependencies" 에 
     "irvine32.lib" 를 맨 앞에 추가해주세요. 추가하시고 뒤에 ' ; ' <- 을 꼭 넣어주셔야 합니다.


13. " Configuration Properties" -> "Microsoft Macro Assembler" -> "General" 에 들어가보시면 "Include Paths"라고 있습니다.
     여기에도 Irvine library의 설치 경로를 넣어주시면 됩니다.


14. 드디어 설정이 끝났습니다! 책에 있는 예제를 넣고 컴파일 해봅니다.


15. 정상적으로 작동되는 것을 확인합니다!! 

수고하셨습니다! 
저작자표시

'Programming > Assembly' 카테고리의 다른 글

[인텔 기반 컴퓨터를 위한 어셈블리 언어] 문자열을 역순으로 배치하기  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어] GetMSeconds를 이용한 성능 시험  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어] 난수(Random) 생성  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어] 5.3.3 라이브러리 테스트 프로그램  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어 5판]연습문제 풀이 4장  (0) 2012.01.23
Posted by NullBr4in
프로젝트/창과 방패2012. 1. 22. 17:37

김성현군이 만든 초간단키로거 분석



성현이가 만든 키로거를 간단하게 훑어보고 올린 제목의 "간단한 키로거"라는 거에서 

proja.exe에서 hook.dll 을 로드하여 SetWindowsEx 함수를 이용하여 전역 후킹하는 것으로 예상 함.
(타겟 프로그램이 따로 없는듯 하기 때문.)

proja.exe 파일과 hook.dll 파일, 두개의 파일로 이루어진 키로거


- proja.exe

분석 중, 0040BAE0h 에 위치부터 성현이가 만든 키로거의 핵심 루틴으로 보이는 것을 발견.

함수명을 확인한 결과, 

.text:0040BB13 mov     esi, esp
.text:0040BB15 push    offset aHook_dll                ; "hook.dll"
.text:0040BB1A call    ds:LoadLibraryA

위와 같은 부분을 찾았으며, "hook.dll" 을 로드하는것을 볼 수 있다.
그리고 해당 루틴안에는 아마도 분기문으로 로드가 실패했을때는
 "hook.dll을 로드할 수 없습니다."라는 MessageBox 출력 후 프로세스 종료

만약 성공시에는 계속 진행되는데,

.text:0040BB67 push    offset aGetmsgproc              ; "GetMsgProc"
.text:0040BB6C mov     edx, dword_4237AC
.text:0040BB72 push    edx
.text:0040BB73 call    ds:GetProcAddress

을 보면 "hook.dll"에서 export 한 함수인 GetMsgProc함수 주소를 가져오는 것을 볼 수 있다. 

.text:0040BB83 cmp     dword ptr [ebp-4], 0
.text:0040BB87 jnz     short loc_40BBCF
.text:0040BB89 mov     esi, esp
.text:0040BB8B push    0
.text:0040BB8D push    offset unk_420060
.text:0040BB92 push    offset unk_421008
.text:0040BB97 mov     eax, [ebp+8]
.text:0040BB9A push    eax
.text:0040BB9B call    ds:MessageBoxA
.text:0040BBA1 cmp     esi, esp
.text:0040BBA3 call    __chkesp
.text:0040BBA8 mov     esi, esp
.text:0040BBAA mov     ecx, dword_4237AC
.text:0040BBB0 push    ecx
.text:0040BBB1 call    ds:FreeLibrary
.text:0040BBB7 cmp     esi, esp
.text:0040BBB9 call    __chkesp
.text:0040BBBE mov     esi, esp
.text:0040BBC0 push    1
.text:0040BBC2 call    ds:ExitProcess

그 이후 역시 위와 같이 분기문을 통해 함수 주소를 가져오는것이 실패하면 메시지박스 출력 후 
프로세스를 종료하는 것을 볼 수 있다.

만약 가져오는데 성공 했다면 아래와 같이 성현이가 사용한 후킹 기법의 핵심이라 볼 수 있는
SetWindowsHookEx 함수를 이용해 후커를 설치하는 부분을 볼 수 있다.

.text:0040BBCF mov     esi, esp
.text:0040BBD1 push    0
.text:0040BBD3 mov     edx, dword_4237AC
.text:0040BBD9 push    edx
.text:0040BBDA mov     eax, [ebp-4]
.text:0040BBDD push    eax
.text:0040BBDE push    3
.text:0040BBE0 call    ds:SetWindowsHookExA

SEtWindowsHookEx 를 사용하여 지역 후킹 또는 전역 후킹을 하는데,
디버거로 분석하기전 실행을 통해 봤을때는 전역 후킹으로 보였다.
타겟 프로그램이 따로 없어보였기 때문.

직접 이 부분을 디버거로 호출 부분의 스택 부분을 본다면,

000000000018F86C  0038100500000003
000000000018F874  0000000000380000   "hook.dll"
000000000018F87C  0040100500000001
000000000018F884  CCCCCCCC00000000

이처럼 나와 있다.(64비트라 좀...)

이것과 같이 볼 것은 SetWindowsHookEx 함수 정보인데,

HHOOK WINAPI SetWindowsHookEx( __in int idHook,
__in HOOKPROC lpfn,
__in HINSTANCE hMod,
__in DWORD dwThreadId);
위와 같다.



그럼 스택을 이용해서 성현이가 작성한 코드에서 호출 한 것을 봐보면,



SetWindowsHookEx(3, GetMsgProc의 주소, 1, 0); 와 같은 방법으로 호출 한 것을 알 수 있다.



먼저 첫번째 인자는
WH_GETMESSAGE
                3

Installs a hook procedure that monitors messages posted to a message queue. For more information, see the GetMsgProc hook procedure.

 
즉 메시지 큐로 보내는 메시지 전체를 후커로 보낸다는 의미이고, 뒤에 설명을 보면 GetMsgProc 훅 프로시저에서 사용하는 걸 유추해 볼 수 있다.




그다음 두번째 인자는

후커, 즉 훅 프로시저의 포인터이고, 이건 위에서 얻은 GetProcAddress 함수의 리턴 값을 넣으면 될 것 같다.

세번째는 LoadLibrary 함수를 통해 얻은 "hook.dll" 핸들 값을 넣어주면 되고,

네번째는 후킹할 ThreadId 를 넣어주면 되는데, 특정 ThreadId 를 넣을 시 지역 후킹이 되고, 

0을 넣을 경우 전역 후킹이 되는데, 여기서 성현이는 전역 후킹을 사용했다.




계속해서 코드를 봤더니 역시 분기문을 통해 실패할 경우 메시지창을 띄우고 종료, 아닐 경우 다음으로 계속 진행되는데

여기서는 더이상 쓸모 있는 부분이 아니라 생략한다.










-hook.dll
자 이제 hook.dll 을 분석해보자.

일단 proja.exe 를 분석해서 알아낸 결과 hook.dll 에서 export 하는 함수인 GetMsgProc 함수를 찾아서 접근 해보았다.




GetMsgProc의 분기문 전까지 내용은 아래와 같다.




push    ebp

mov     ebp, esp

sub     esp, 48h

push    ebx

push    esi

push    edi

lea     edi, [ebp+var_48]

mov     ecx, 12h

mov     eax, 0CCCCCCCCh

rep stosd

mov     eax, [ebp+arg_8]

cmp     dword ptr [eax+4], 100h

jnz     short loc_100010AB





마지막에서 두번째 줄인, cmp dword ptr [eax+4], 100h 부분은 후킹한 메시지의 wParam 값을 확인 후 분기하는거 같은데,
일단 키로거이기 때문에 100h은 WM_KEYDOWN 이나 KEY와 관련된 값이란걸 유추 할 수 있다.
확인 하기 위해 msdn 에 검색해보면
#define WM_KEYDOWN                      0x0100

위와 같이 WM_KEYDOWN 이 0x0100 으로 가져온 메시지에서 wParam이 WM_KEYDOWN 메시지인지 확인 한 후 분기하는걸 알 수 있다.




mov     esi, esp

push    0               ; hTemplateFile

push    80h             ; dwFlagsAndAttributes

push    4               ; dwCreationDisposition

push    0               ; lpSecurityAttributes

push    0               ; dwShareMode

push    40000000h       ; dwDesiredAccess

push    offset FileName ; "c:\\test.txt"

call    ds:CreateFileA


WM_KEYDOWN 일 경우엔, 처음에 CreateFile 함수를 통해 c:\test.txt의 파일 포인터를 가져오는 것을 알 수 있다.

이것으로 키값을 proja.exe의 윈도우에 출력이 아니라 해당 파일에 출력하는 것이라 유추 해 볼 수 있다.




다음으로 




push    2               ; dwMoveMethod

push    0               ; lpDistanceToMoveHigh

push    0               ; lDistanceToMove

mov     ecx, [ebp+hObject]

push    ecx             ; hFile

call    ds:SetFilePointer





SetFilePointer 함수를 사용하는데, msdn에 찾아보았다.

DWORD SetFilePointer(   HANDLE hFile,   

                        LONG lDistanceToMove,   

                        PLONG lpDistanceToMoveHigh,   

                        DWORD dwMoveMethod); 

This function moves the file pointer of an open file. A RAPI version of this function exists, called CeSetFilePointer (RAPI).



설명을 읽어보면 파일포인터를 이동하는 함수란걸 알 수 있다.
아마도 이걸 사용한거면 새로 입력 받는 키 값은 파일에서 맨 마지막에 붙이는 것 같은데,, 한번 봐보자,



첫번째 인자값엔 c:\test.txt 파일의 핸들을 넣었고,
두번째 인자값엔 옮길 위치를 넣는데, 0으로 지정한 것으로 보아 뒤에 나오는 네번째 인수에서 결정 할 것 같다.
세번째 인자는 Not supported; must be NULL or point to a value of zero. ,, 파일의 크기가 2기가 이상일 경우 사용하는것인데 여기선 0으로, 즉 사용 안함
네번째 인자는 [in] Starting point for the file pointer move. The following table shows possible values for this parameter.,, 파일 포인트 이동 시작 지점을 정해주는 것이다.
0x0 FILE_BEGIN - Indicates that the starting point is zero or the beginning of the file.
0x1 FILE_CURRENT - Indicates that the starting point is the current value of the file pointer.
0x2 FILE_END - Indicates that the starting point is the current EOF position.
이렇게 세가지가 있으며 0x2로 되어 있으니 파일 포인트 시작지점을 맨마지막으로 설정한다.



push 0 ; lpOverlapped

lea edx, [ebp+NumberOfBytesWritten]

push edx ; lpNumberOfBytesWritten

push 1 ; nNumberOfBytesToWrite

mov eax, [ebp+arg_8]

add eax, 8

push eax ; lpBuffer

mov ecx, [ebp+hObject]

push ecx ; hFile

call ds:WriteFile





그다음 나오는게 위의 WriteFile 함수 호출부분인데, 이건 받은 메시지에서 눌린 키값을 파일에 써주는 부분이다.



mov edx, [ebp+hObject]

push edx ; hObject

call ds:CloseHandle





그다음 나오는게 CloseHandle 호출이며 이 함수는 파일 핸들을 닫아주는 것으로 보인다.



이로써 분석은 끝나고,,
막는 방법은 여러가지를 생각 할 수 있다.
솔직히 쉽게는 해당 프로세스의 패턴을 프로그램에 등록해서 막을 수는 있고 가장 쉬운 방법이지만
프로그램을 재컴파일하여 만약 패턴부분이 바뀐다면 사용 할 수 없는 방법이다. (지속적인 업데이트 필요)



하지만 이번 프로젝트에서는 저런 방식(키로거의 패턴을 뽑아내서 해당 프로그램 차단 방식)을 하려는게 아니니까,,



원래는 현재 작업 중인 프로젝트가 있는데 막바지라 진행 중이던 프로젝트를 끝마치고 방어 프로그램을 제작해서 올리려고 했는데
모처럼 창과방패 프로젝트에서 처음 나온 결과물이니 최대한 빨리 답변 해주고 싶어서 이렇게 일단 보고서라도 만들었다.
현재 진행중인 프로젝트는 1~2틀 내로 끝날 것 같다.
진행중인 프로젝트가 끝나면 성현이의 키로거 전용 탐지기가 아니라, Message 를 이용한 hooking 을 봉쇄하는 프로그램을 만들어서 업로드 하겠다.



-------------------------------------------------------------------------------------



해당 글은 분석 했을 당시 동아리 게시판에 올렸던 글입니다.



저때 진행 중이었던 작업이 d3d hooking 분석 이였고, 지금은 그 작업을 끝내고 방패프로그램을 만드는 중입니다~ 

            



                    

  





  



  





    
        
            저작자표시 
        
    


  




                    


  
'프로젝트 > 창과 방패' 카테고리의 다른 글

  

    

      첫번째 방패 - 첫번째 키로거  (19)
      2012.01.22
    

    

      창과 방패 프로젝트란..  (0)
      2012.01.21
    

  










							

							
Posted by NullBr4in

							
							
							

								
								
							

							
							
							

						

					

				

				

			
                    
                
			
			
				
			
			
		

		

		
	




  
티스토리툴바