3.8 자체 제작 디스어셈블 도구 구현

binary@binary-VirtualBox:~/code/chapter8$ ls basic_capstone_linear.cc basic_capstone_recursive.cc capstone_gadget_finder.cc Makefile overlapping_bb.c binary@binary-VirtualBox:~/code/chapter8$ make overlapping_bb gcc -o overlapping_bb overlapping_bb.c binary@binary-VirtualBox:~/code/chapter8$ ls basic_capstone_linear.cc capstone_gadget_finder.cc overlapping_bb basic_capstone_recursive.cc Makefile overlapping_bb.c binary@binary-VirtualBox:~/code/chapter8$ objdump -M intel --start-address=0x4005f6 -d overlapping_bb 00000000004005f6 <overlapping>: 4005f6: 55 push rbp 4005f7: 48 89 e5 mov rbp,rsp 4005fa: 89 7d ec mov DWORD PTR [rbp-0x14],edi 4005fd: c7 45 fc 00 00 00 00 mov DWORD PTR [rbp-0x4],0x0 400604: 8b 45 ec mov eax,DWORD PTR [rbp-0x14] 400607: 83 f8 00 cmp eax,0x0 40060a: 0f 85 02 00 00 00 jne 400612 <overlapping+0x1c> 400610: 83 f0 04 xor eax,0x4 400613: 04 90 add al,0x90 400615: 89 45 fc mov DWORD PTR [rbp-0x4],eax 400618: 8b 45 fc mov eax,DWORD PTR [rbp-0x4] 40061b: 5d pop rbp 40061c: c3 ret

binary@binary-VirtualBox:~/code/chapter8$ objdump -M intel --start-address=0x400612 -d overlapping_bb 0000000000400612 <overlapping+0x1c>: 400612: 04 04 add al,0x4 400614: 90 nop 400615: 89 45 fc mov DWORD PTR [rbp-0x4],eax 400618: 8b 45 fc mov eax,DWORD PTR [rbp-0x4] 40061b: 5d pop rbp 40061c: c3 ret

7b05a: cmp DWORD PTR fs:0x18,0x0 //해당 7b063: je 7b066 7b065: lock cmpxchg QWORD PTR [rip+0x3230fa],rcx

바이트 코드 묶음 > 디스어셈블 된 명령어로 출력

/* Linearly disassemble a given binary using Capstone. */ #include <stdio.h> #include <string> #include <capstone/capstone.h> #include "../inc/loader.h" int disasm(Binary *bin) { csh dis; cs_insn *insns; Section *text; size_t n; text = bin->get_text_section(); if(!text) { fprintf(stderr, "Nothing to disassemble\n"); return 0; } if(cs_open(CS_ARCH_X86, CS_MODE_64, &dis) != CS_ERR_OK) { fprintf(stderr, "Failed to open Capstone\n"); return -1; } n = cs_disasm(dis, text->bytes, text->size, text->vma, 0, &insns); if(n <= 0) { fprintf(stderr, "Disassembly error: %s\n", cs_strerror(cs_errno(dis))); return -1; } for(size_t i = 0; i < n; i++) { printf("0x%016jx: ", insns[i].address); for(size_t j = 0; j < 16; j++) { if(j < insns[i].size) printf("%02x ", insns[i].bytes[j]); else printf(" "); } printf("%-12s %s\n", insns[i].mnemonic, insns[i].op_str); } cs_free(insns, n); cs_close(&dis); return 0; } int main(int argc, char *argv[]) { Binary bin; std::string fname; if(argc < 2) { printf("Usage: %s <binary>\n", argv[0]); return 1; } fname.assign(argv[1]); if(load_binary(fname, &bin, Binary::BIN_TYPE_AUTO) < 0) { return 1; } if(disasm(&bin) < 0) { return 1; } unload_binary(&bin); return 0; }

int main(int argc, char *argv[]) { Binary bin; std::string fname; if(argc < 2) { printf("Usage: %s <binary>\n", argv[0]);// 파라미터가 2개 미만일 경우 사용법 출력 return 1; } fname.assign(argv[1]); if(load_binary(fname, &bin, Binary::BIN_TYPE_AUTO) < 0) { return 1; }//load_binary 함수가 실패했을 경우 1 리턴 if(disasm(&bin) < 0) { return 1; }//disasm 함수가 실패했을 경우 1 리턴 unload_binary(&bin); // 메모리 해제 return 0; }

int disasm(Binary *bin) { csh dis; cs_insn *insns; Section *text; size_t n; text = bin->get_text_section(); // 텍스트 섹션 정보 획득 if(!text) { fprintf(stderr, "Nothing to disassemble\n"); return 0; } // 못 가져 올 경우 0 리턴 if(cs_open(CS_ARCH_X86, CS_MODE_64, &dis) != CS_ERR_OK) { fprintf(stderr, "Failed to open Capstone\n"); return -1; }// dis 구조체를 x86 아키텍쳐로 설정하며, 64비트 환경으로 설정 n = cs_disasm(dis, text->bytes, text->size, text->vma, 0, &insns); if(n <= 0) { fprintf(stderr, "Disassembly error: %s\n", cs_strerror(cs_errno(dis))); return -1; }//dis 구조체에서 텍스트 섹션의 정보만큼 읽어서 insns 문자열에 저장 및 길이 리턴 for(size_t i = 0; i < n; i++) { printf("0x%016jx: ", insns[i].address); for(size_t j = 0; j < 16; j++) { if(j < insns[i].size) printf("%02x ", insns[i].bytes[j]); else printf(" "); } printf("%-12s %s\n", insns[i].mnemonic, insns[i].op_str); } //문자열 출력 cs_free(insns, n); //문자열 프리 cs_close(&dis); // 구조체 프리 return 0; }

typedef struct cs_insn { unsigned int id; //아키텍쳐 식별, 명령어 형식 구분. uint64_t address; uintl6_t size; uint8__t bytes[16]; char mnemonic[32]; char op_str[160]; cs_detail *detail; } cs_insn;

switch(insn->id){ case X86_INS_NOP: //*처리코드* break; case X86_INS_CALL: //처리 코드 break; default: break; }

binary@binary-VirtualBox:~/code/chapter8$ ./basic_capstone_linear /bin/ls | head -n 10 0x0000000000402a00: 41 57 push r15 0x0000000000402a02: 41 56 push r14 0x0000000000402a04: 41 55 push r13 0x0000000000402a06: 41 54 push r12 0x0000000000402a08: 55 push rbp 0x0000000000402a09: 53 push rbx 0x0000000000402a0a: 89 fb mov ebx, edi 0x0000000000402a0c: 48 89 f5 mov rbp, rsi 0x0000000000402a0f: 48 81 ec 88 03 00 00 sub rsp, 0x388 0x0000000000402a16: 48 8b 3e mov rdi, qword ptr [rsi]

capstone.h 캡스톤 API 함수들에 대한 설명이 주석으로 정의되어 있음. cs_insn, cs_err같은 아키텍쳐에 귀속되어 있지 않거나 cs_arch, cs_mode, cs_err 등 enum 타입이 가지는 값이 정의되어 있음.

x86.h 해당 헤더파일에는 x86 / x86-64아키텍쳐에 특화된 내용이 기록되어 있음.

/* Recursively disassemble a given binary using Capstone. */ #include <stdio.h> #include <queue> #include <map> #include <string> #include <capstone/capstone.h> #include "../inc/loader.h" void print_ins(cs_insn *ins) { printf("0x%016jx: ", ins->address); for(size_t i = 0; i < 16; i++) { if(i < ins->size) printf("%02x ", ins->bytes[i]);// i가 인스트럭션 사이즈보자 작을경우 출력 else printf(" "); // 클경우 공백 출력 } printf("%-12s %s\n", ins->mnemonic, ins->op_str); //구조체 확인 해봐야함 } bool is_cs_cflow_group(uint8_t g) { return (g == CS_GRP_JUMP) || (g == CS_GRP_CALL) || (g == CS_GRP_RET) || (g == CS_GRP_IRET); } // 점프거나 콜이거나 리턴이거나 IRET (Interupt Return)에 가까운듯 bool is_cs_cflow_ins(cs_insn *ins) { for(size_t i = 0; i < ins->detail->groups_count; i++) { if(is_cs_cflow_group(ins->detail->groups[i])) { return true; //ins의 디테일의 그룹스가 트루일경우 트루 리턴 } } return false; } bool is_cs_unconditional_cflow_ins(cs_insn *ins) { switch(ins->id) { case X86_INS_JMP: case X86_INS_LJMP: // 로우점프 case X86_INS_RET: case X86_INS_RETF: // 리턴펑션 case X86_INS_RETFQ: //retfq return true; default: return false; } } uint64_t get_cs_ins_immediate_target(cs_insn *ins) { cs_x86_op *cs_op; for(size_t i = 0; i < ins->detail->groups_count; i++) { // 그룹스 카운팅 if(is_cs_cflow_group(ins->detail->groups[i])) { // 인덱스 인스트럭션이 그룹일 경우 for(size_t j = 0; j < ins->detail->x86.op_count; j++) { cs_op = &ins->detail->x86.operands[j]; // operand가 if(cs_op->type == X86_OP_IMM) { // 직접 호출 주소값을 참조하는 operand인 경우 return cs_op->imm; // 주소값 리턴 } } } } return 0; } int disasm(Binary *bin) { csh dis; cs_insn *cs_ins; Section *text; size_t n; const uint8_t *pc; uint64_t addr, offset, target; std::queue<uint64_t> Q; std::map<uint64_t, bool> seen; text = bin->get_text_section(); if(!text) { fprintf(stderr, "Nothing to disassemble\n"); return 0; } // 텍스트 섹션 정보 획득 if(cs_open(CS_ARCH_X86, CS_MODE_64, &dis) != CS_ERR_OK) { fprintf(stderr, "Failed to open Capstone\n"); return -1; } // 캡스톤 구조체 아키텍쳐 설정 cs_option(dis, CS_OPT_DETAIL, CS_OPT_ON); // 캡스톤 디테일 옵션 설정 cs_ins = cs_malloc(dis); if(!cs_ins) { fprintf(stderr, "Out of memory\n"); cs_close(&dis); return -1; } // 캡스톤 메모리 할당 addr = bin->entry; if(text->contains(addr)) Q.push(addr); // bin에서 엔트리 포인트 가져와서 존재할경우 Q에 푸쉬 printf("entry point: 0x%016jx\n", addr); for(auto &sym: bin->symbols) { if(sym.type == Symbol::SYM_TYPE_FUNC && text->contains(sym.addr)) { // 심볼 타입이 함수이고, 함수 주소가 텍스트 섹션안에 존재할 경우 큐에 추가 Q.push(sym.addr); printf("function symbol: 0x%016jx\n", sym.addr); } } while(!Q.empty()) { addr = Q.front(); Q.pop(); //addr에 가장 빠른 주소값부터 삽입후 pop if(seen[addr]) { //해당 address의 bool 값이 true이면 이미 분석 한 함수로 인식하여 패스 printf("ignoring addr 0x%016jx (already seen)\n", addr); continue; } offset = addr - text->vma; pc = text->bytes + offset; // program count n = text->size - offset; //뒤는 어케 짜름? 안짜름? while(cs_disasm_iter(dis, &pc, &n, &addr, cs_ins)) { // 반복 디스어셈 수행 if(cs_ins->id == X86_INS_INVALID || cs_ins->size == 0) { break; // 더이상 디스어셈 불가능 할 경우 브렠 } seen[cs_ins->address] = true; // 작업 한 주소값 트루로 변경 print_ins(cs_ins); // 출력 함수 if(is_cs_cflow_ins(cs_ins)) {// 그룹일 경우 target = get_cs_ins_immediate_target(cs_ins); // 직접 주소 호출 또는 점프값 획득 if(target && !seen[target] && text->contains(target)) { Q.push(target);// 직접 호출 주소값이 있고 해당 주소값 분석을 아직 안했고, text 섹션에 포함인 경우 뉴 타겟으로 추가 printf(" -> new target: 0x%016jx\n", target); } if(is_cs_unconditional_cflow_ins(cs_ins)) { //간접일경우 브레이크 break; } } else if(cs_ins->id == X86_INS_HLT) break; // 작업 완료 인스트럭션일 경우 브레이크, } printf("----------\n"); } cs_free(cs_ins, 1); cs_close(&dis); return 0; } int main(int argc, char *argv[]) // 선형 디스어셈블러와 동일 { Binary bin; std::string fname; if(argc < 2) { printf("Usage: %s <binary>\n", argv[0]); return 1; } fname.assign(argv[1]); if(load_binary(fname, &bin, Binary::BIN_TYPE_AUTO) < 0) { return 1; } if(disasm(&bin) < 0) { return 1; } unload_binary(&bin); return 0; }

entry point: 0x0000000000400500 function symbol: 0x0000000000400530 function symbol: 0x0000000000400570 function symbol: 0x00000000004005b0 function symbol: 0x00000000004005d0 function symbol: 0x00000000004006f0 function symbol: 0x0000000000400680 function symbol: 0x0000000000400500 function symbol: 0x000000000040061d function symbol: 0x00000000004005f6 0x0000000000400500: 31 ed xor ebp, ebp 0x0000000000400502: 49 89 d1 mov r9, rdx 0x0000000000400505: 5e pop rsi 0x0000000000400506: 48 89 e2 mov rdx, rsp 0x0000000000400509: 48 83 e4 f0 and rsp, 0xfffffffffffffff0 0x000000000040050d: 50 push rax 0x000000000040050e: 54 push rsp 0x000000000040050f: 49 c7 c0 f0 06 40 00 mov r8, 0x4006f0 0x0000000000400516: 48 c7 c1 80 06 40 00 mov rcx, 0x400680 0x000000000040051d: 48 c7 c7 1d 06 40 00 mov rdi, 0x40061d 0x0000000000400524: e8 87 ff ff ff call 0x4004b0 0x0000000000400529: f4 hlt ---------- 0x0000000000400530: b8 57 10 60 00 mov eax, 0x601057 0x0000000000400535: 55 push rbp 0x0000000000400536: 48 2d 50 10 60 00 sub rax, 0x601050 0x000000000040053c: 48 83 f8 0e cmp rax, 0xe 0x0000000000400540: 48 89 e5 mov rbp, rsp 0x0000000000400543: 76 1b jbe 0x400560 -> new target: 0x0000000000400560 0x0000000000400545: b8 00 00 00 00 mov eax, 0 0x000000000040054a: 48 85 c0 test rax, rax 0x000000000040054d: 74 11 je 0x400560 -> new target: 0x0000000000400560 0x000000000040054f: 5d pop rbp 0x0000000000400550: bf 50 10 60 00 mov edi, 0x601050 0x0000000000400555: ff e0 jmp rax ----------

/* Find ROP gadgets in a given binary using Capstone. */ #include <stdio.h> #include <map> #include <vector> #include <string> #include <capstone/capstone.h> #include "../inc/loader.h" bool is_cs_cflow_group(uint8_t g) { return (g == CS_GRP_JUMP) || (g == CS_GRP_CALL) || (g == CS_GRP_RET) || (g == CS_GRP_IRET); } bool is_cs_cflow_ins(cs_insn *ins) { for(size_t i = 0; i < ins->detail->groups_count; i++) { if(is_cs_cflow_group(ins->detail->groups[i])) { return true; } } return false; } bool is_cs_ret_ins(cs_insn *ins) { switch(ins->id) { case X86_INS_RET: return true; default: return false; } } int find_gadgets_at_root(Section *text, uint64_t root, std::map<std::string, std::vector<uint64_t> > *gadgets, csh dis) { size_t n, len; const uint8_t *pc; uint64_t offset, addr; std::string gadget_str; cs_insn *cs_ins; const size_t max_gadget_len = 5; /* instructions */ const size_t x86_max_ins_bytes = 15; //x86의 경우 개별 명령어가 15바이트를 넘지 않음. const uint64_t root_offset = max_gadget_len*x86_max_ins_bytes; cs_ins = cs_malloc(dis); if(!cs_ins) { fprintf(stderr, "Out of memory\n"); return -1; } for(uint64_t a = root-1; text->contains(a) && a >= offset-root_offset; a--) { addr = a; offset = addr - text->vma; pc = text->bytes + offset; n = text->size - offset; len = 0; gadget_str = ""; while(cs_disasm_iter(dis, &pc, &n, &addr, cs_ins)) { if(cs_ins->id == X86_INS_INVALID || cs_ins->size == 0) { break;//instruction 미상이거나 size가 0일경우 리턴 } else if(cs_ins->address > root) { break; //address가 루트보다 클 경우 리턴 } else if(is_cs_cflow_ins(cs_ins) && !is_cs_ret_ins(cs_ins)) { break; //그룹 컨트롤 플로우가 등장하거나, 리턴 인스트럭션인 경우 } else if(++len > max_gadget_len) { break; // length가 맥스 가젯 랭스보다 긴경우 } gadget_str += std::string(cs_ins->mnemonic) + " " + std::string(cs_ins->op_str); // 인스트럭션 add if(cs_ins->address == root) { //루트에 도달하면 이라는데 루트값으로 갈수가 있나? (*gadgets)[gadget_str].push_back(a);// 주소 추가 break; } gadget_str += "; "; } } cs_free(cs_ins, 1); return 0; } int find_gadgets(Binary *bin) { csh dis; Section *text; std::map<std::string, std::vector<uint64_t> > gadgets; const uint8_t x86_opc_ret = 0xc3; text = bin->get_text_section(); if(!text) { fprintf(stderr, "Nothing to disassemble\n"); return 0; } if(cs_open(CS_ARCH_X86, CS_MODE_64, &dis) != CS_ERR_OK) { fprintf(stderr, "Failed to open Capstone\n"); return -1; } cs_option(dis, CS_OPT_DETAIL, CS_OPT_ON); for(size_t i = 0; i < text->size; i++) { if(text->bytes[i] == x86_opc_ret) {//리턴일 경우 if(find_gadgets_at_root(text, text->vma+i, &gadgets, dis) < 0) { // 가젯 탐색 함수 호출 break; } } } for(auto &kv: gadgets) { //가젯 키값만큼 출력 printf("%s\t[ ", kv.first.c_str()); // 인스트럭션 출력 for(auto addr: kv.second) { printf("0x%jx ", addr); // 어드레스 출력 } printf("]\n"); } cs_close(&dis); return 0; } int main(int argc, char *argv[]) { Binary bin; std::string fname; if(argc < 2) { printf("Usage: %s <binary>\n", argv[0]); return 1; } fname.assign(argv[1]); if(load_binary(fname, &bin, Binary::BIN_TYPE_AUTO) < 0) { return 1; } if(find_gadgets(&bin) < 0) { return 1; } unload_binary(&bin); return 0; }

binary@binary-VirtualBox:~/code/chapter8$ ./capstone_gadget_finder /bin/ls | head -n 10 adc al, 0xb8; add dword ptr [rax], eax; add byte ptr [rax], al; ret [ 0x412f00 ] adc bl, al; nop ; nop word ptr cs:[rax + rax]; mov rax, qword ptr [rdi + 0x18]; ret [ 0x40b133 ] adc byte ptr [r11 + 9], sil; shl rax, 4; add rax, qword ptr [rbx]; pop rbx; ret [ 0x40ae40 ] adc byte ptr [r8], r8b; ret [ 0x40b5ac ] adc byte ptr [rax + 0x39], cl; push rdi; or byte ptr [rdi - 0x46], dh; mov rax, rcx; ret [ 0x40b4bd ] adc byte ptr [rax - 0x77], cl; ret [ 0x40eb10 ] adc byte ptr [rax], al; ret [ 0x40b5ad ] adc byte ptr [rbp - 0x14], dh; xor eax, eax; ret [ 0x412f12 ] adc byte ptr [rbx + 0x5d], bl; pop r12; pop r13; pop r14; ret [ 0x411881 ] adc byte ptr [rbx + 0x5d], bl; pop r12; ret [ 0x40bb1f 0x40be0a ]