어셈블리 기초 지식.txt4.9KB

일단 이건 다른 파인더 분이 올린 내용인데, 배경 지식으로 적절할것 같아서 올려 놓습니다.

배우실 분들은 한번 읽어 보면 도움이 됩니다.

어셈블리어

기계어는 일반적으로 0과 1이라고 하는 2진수에 의해 구성되어진다. 이것을 그나마 사람이 알아볼 수 있도록 기계어와 1대 1로 매칭하는 언어가 바로 어셈블리어다.

기계어와 어셈블리어는 재차 말하지만 1대 1로 정확히 매칭되며 이를 통해 사람으로서도 어느정도는 프로그램의 구동원리를 직접 확인 할 수 있다.

많은 코드파인더 지망생들은 이 어셈블리어를 직접 혹은 간접적으로나마 겪어보았을 것이다.

바로 올리디버거(Olly Debugger)에 의해 게임을 열거나 접근할 시 보게되는 프로그램 소스가 바로 어셈블리어이기 때문이다.

디버거 프로그램(Debugger)

기본적으로는 프로그램의 오류를 해명하고 그것을 해결하기 위한 목적으로 쓰이는 프로그램이다. 그것이 하는 일은 실행중인 프로세스를 기계어->어셈블리어로 번역해 표기하고 그를 통한 대상프로그램의 정밀한 분석 및 구조 개선이겠지만 우리들은 그 기능을 이용해 게임의 후킹 지점을 찾는 것(코드 파인드)이 주 용도로 쓰이게 된다.

디버거 프로그램의 종류로는 올리디버거, 이뮤니티 디버거, 윈디버거 등이 존재한다.

그 중에서 올리디버거에 대해 살펴보도록 하자.

범용레지스터

EAX, EBX, ECX, EDX의 네가지 레지스터로 구분되어진다. 이들 레지스터는 산술 연산 및 결과 값 저장 등 여러 가지 용도로 쓰이게 된다.

EAX

산술연산에 주로 사용되어지는 레지스터다. 대부분의 덧셈, 곱셈, 나눗셈 등의 산술연산에서 무조건 적으로 사용되어진다.

EAX는 32비트(4바이트)사이즈이며 그 전체를 사용 시에는 EAX로서 쓰인다.

16비트(2바이트)만을 사용 시에는 AX로서 쓰인다.

8비트(1바이트)만을 사용 시에는 AL 혹은 AH로서 쓰인다.

이런 식으로 구분되는 것을 기억하도록 하자.

EBX

EAX를 보조하는 산술연산에 사용되거나 여러 주소 연산에서 사용되어지는 레지스터이다.

EAX의 구조와 마찬가지로

32비트(4바이트)영역을 사용 시 EBX

16비트(2바이트)영역을 사용 시 BX

8비트(1바이트)영역을 사용 시 BL 혹은 BH로서 쓰인다.

ECX

ECX는 일반적으로 루프(Loop)의 반복횟수를 의미하는데 쓰이게 된다. 하지만 그것만이 용도는 아니고

많은 산술 연산 및 주소연산에도 공통으로 사용되게 된다.

32비트(4바이트)영역을 사용 시 ECX

16비트(2바이트)영역을 사용 시 CX

8비트(1바이트)영역을 사용 시 CL 혹은 CH로서 쓰인다.

EDX

EDX는 큰 수의 산술연산, 즉 32비트 레지스터간의 곱하기 등의 최대 레지스터 용량 범위를 넘어가는 .

연산을 보조하기 위해 사용되는 레지스터이다.

32비트(4바이트)영역을 사용 시 EDX

16비트(2바이트)영역을 사용 시 DX

8비트(1바이트)영역을 사용 시 DL 혹은 DH로서 쓰인다.

기본적으로 이상의 범용 레지스터들은 일단 그 사용 용도가 정해져있다고 하지만 실제로는 범용인지라

어떻게 어떤 형태로 사용 되도 이상하지 않다.

포인터(주소) 레지스터

포인터 레지스터에는 ESP,EBP, EIP 가 존재한다.

ESP

그 특성상 다음 강좌에서 설명하도록 하겠다.

단지 이것은 스택 메모리에 있어서 대단히 중요한 레지스터이다

EBP

그 특성상 다음 강좌에서 설명하도록 하겠다.

이 역시 스택 메모리에 관여하는 레지스터이다.

EIP

EIP는 다음에 수행되어야할 명령의 주소를 가리키고 있다. CPU는 이 EIP가 가리키는 주소에 의해서만 코드를 실행하게 되며 따라서 이것은 프로그래머가 임의로 변경할 수 없는 부분이기도 하다. 물론 디버거를 이용한 변경은 가능하지만 그 경우 어떤 문제가 일어날지 장담할 수 없게 된다.

인덱스 레지스터

인덱스 레지스터에는 EDI와 ESI가 존재한다.

이들 레지스터는 대부분이 문장 처리에 관여한다. 보통으로는 ESI가 소스주소를 EDI가 목적지 주소를 가리키는 데 

이들 레지스터는 ESI(문장위치주소) -> EDI(문장을 옮길 주소)의 방식으로 사용되는 것이 일반 적이다. 하지만 그 외에도 가끔 산술연산에 사용되어지기도 한다.

플래그 레지스터

플래그 레지스터는 다시 두개의 분류로 구분 할 수 있다. 상태 플래그와 제어 플래그가 바로 그 것인데 코드파인드시 주로 보게 될 상태 플래그를 보도록 하자.

CF(Carry Flag)

연산 명령 실행 후 그 결과 값의 최상위비트(가장 왼쪽의 비트)에 덧셈에 의한 자리올림 혹은 뺄셈에 의한 빌림이 발생시 1로 세팅되어진다.

PF(Parity Flag)

연산 결과 값의 1비트들의 개수를 나타낸다. 그 개수가 짝수인 경우 1로 세팅되고 홀수인 경우 0으로 세팅된다.

AF(Auxiliary carry Flag)

특수화된 산술에서 세팅되어지며 주로 10진 연산처리 시 발생한다.

ZF(Zero Flag)

연산의 결과 값이 0일시 1로 세팅되어지고 0이 아닐시엔 0으로 세팅되어진다.

OF(Over Flag)

연산의 결과가 부호 발생 시 세팅되어진다.