C

Reverse Engineering software 를 분석하여 소스코드를 역으로 생성 해 내는 기법 software 분석 방법 Static analysis 프로그램을 실행시키지 않고 수행하는 분석이다. 프로그램의 전체 구조를 파악하기 쉬우며, 환경적 제약 사항에 자유롭고, 악성 코드의 위협으로부터 안전하다. 난독화 적용시 분석이 어려워 진다는 단점이 있다. 정적분석에 사용되는 툴로는 IDA 가 있다. IDA 는 프리웨어로 https://hex-rays.com/ida-free/ 에서 다운 가능하다. Dynamic analysis 프로그램을 실행시키며 수행하는 분석이다. 프로그램의 개략적인 동작을 빠르게 확인 할 수 있다. 정적 분석과 반대로 프로그램 실행에 필요한 환경 구성이 어려울 수 있다. 안티 디버깅 기법 적용된 프로그램은 디버깅이 불가능하다. IDA 리버스 엔지니어링 툴 단축어 shift + F12 문자열 검색, String 탭으로 이동 x 상호참조 확인, 변수 또는 함수가 사용되는 곳의 위치를 확인 F5 어셈블리를 C 언어 형태로 변환 g 특정 주소 혹은 라인으로 이동 디컴파일 된 함수 이름 위에 커서를 놓고 g 를 누르면 어셈블리 상 함수 라인을 확인할 수 있다. 함수 이름을 적어도 함수 위치로 이동된다. ESC 이전 커서 위치로 이동 Ctrl + Enter 다음 커서 위치로 이동 n 변수 이름 바꾸기 Y 변수 타입 설정 함수 매개변수 변경, 함수 매개변수 타입 변경 F2 어셈블리 혹은 C 언어 라인에서는 break point(중단점) 설정 stack 또는 hex View 에서는 값 변경 F9 실행 (run) 프로그램을 실행시켜 동적 분석을 수행할 수 있다. F8 한 단계 실행 (next) F7 함수 내부로 진입 (step int) Ctrl + F2 디버깅 중단 r hex 데이터를 문자로 변환 Shift + E 선택한 값을 원하는 형태로 변환하여 추출(export) hex 데이터를 문자열로 추출할 때 유용하다. 화면 IDA View ...

Exploit pwntool의 checksec 명령어로 어떤 보안이 적용되었는지 확인 가능하다. Shell Code exploit은 파일 읽고 쓰기(open-read-write, orw), 셸 명령 실행(execve) 권한을 취득하는 것을 목표로 한다. Shell 권한을 획득하기 위한 어셈블리 코드들의 모음을 ‘Shell Code’ 라 칭한다. 환경세팅 pwntools checksec shellcraft ROPgadget one_gadget patchelf 취약점 공격 순서 바이너리를 분석하여 보호기법을 확인한다. checksec 명령어를 사용하여 바이너리에 적용된 보호기법을 확인하고, 적용 불가능한 exploit 기법을 추려낸다. checksec 참조 ldd 명령을 활용하여 의존성 관계를 확인한다. ldd 명령 코드를 확인하여 취약점 및 구조(stack 형태)을 파악한다 stack은 함수에서 선언된 순서대로 할당되지 않음에 주의하며, 무조건 assembly어를 통해 stack 주소에서 특정 변수의 위치를 확인하도록 한다. ...

GDB GNU Debugger의 약자 유닉스의 디버거는 오픈소스가 아니라 GNU에서 새로 개발한 디버거 디버깅을 위해서는 register(레지스터 값), disassem(rip 부근 주소를 디스어셈 한 값), stack(스택의 값), backtrace(현재 rip에 도달 할 때 까지 거쳐간 함수들) 을 파악해야 하며, 이를 context(맥락) 이라 한다. pwndbg 플러그인을 설치하면 hacking에 관련된 내용을 디버깅하기 용이하다. https://github.com/pwndbg/pwndbg 주소에서 git을 clone 받고, ./setup.sh를 실행시키면 이후 gdb 명령을 칠 때 자동으로 pwndbg 플러그인이 적용된 gdb가 실행된다. 컴파일 gcc로 컴파일시 옵션에 -g 를 붙여야 소스를 보면서 디버깅이 가능 리눅스에서 컴파일한 파일은 ELF (Executable and Linkable Format) 의 실행 파일이 된다. ELF 파일은 파일 실행에 필요한 정보가 든 헤더와 여러 섹션들로 구성된다. 섹션에는 기계어 코드 등의 정보들이 들어있다. readelf -h [ELF파일] 명령으로 ELF 파일의 헤더 정보를 확인 할 수 있다. gdb 옵션 gdb [파일이름] : 해당 파일이름 디버깅 실행 --args [arg1] [arg2] [...] : 파일 실행에 필요한 argument를 전달 기타 명령어 실행 전 설정사항 coredumb 파일 ...