Background: x86 Assembly Essential Part(2) 스택, 프로시저, 시스템 콜

스택🧱(push, pop)

- push val : val을 스택 최상단에 쌓음

 

연산
rsp -= 8
[rsp] = val

 

- pop reg : 스택 최상단의 값을 꺼내서 reg에 대입

 

연산
rsp += 8
reg = [rsp-8]

 

주의할 점⚠️

1) 스택은 확장될 때 주소값이 낮아지고, 축소될 때 주소값이 높아진다는 걸 유념하자(스택은 아래로 자란다)

2) push와 pop 명령어는 현재 rsp가 가리키는 곳을 기준으로 이루어진다는 것을 유념하자

3) pop 명령어는 스택 최상단의 값을 꺼낸 뒤, 대입까지 한다는 걸 잊지 말자

 

프로시저📜(call, leave, ret)

프로시저를 부르는 행위를 호출(Call)이라고 부르며, 프로시저에서 돌아오는 것을 반환(Return)이라고 부른다.

x64어셈블리언어에는 프로시저의 호출과 반환을 위한 call, leave, ret 명령어가 있다.

 

CALL📜

- call addr : addr에 위치한 프로시져 호출

 

연산
push return_address
jmp addr

 

예제
[Register]
rip = 0x400000
rsp = 0x7fffffffc400 

[Stack]
0x7fffffffc3f8 | 0x0
0x7fffffffc400 | 0x0 <= rsp

[Code]
0x400000 | call 0x401000  <= rip
0x400005 | mov esi, eax
...
0x401000 | push rbp

 

결과
[Register]
rip = 0x401000
rsp = 0x7fffffffc3f8

[Stack]
0x7fffffffc3f8 | 0x400005  <= rsp
0x7fffffffc400 | 0x0

[Code]
0x400000 | call 0x401000
0x400005 | mov esi, eax
...
0x401000 | push rbp  <= rip

 

*예제와 결과를 통해 call 0x401000이 실행되자

1) 스택에 돌아가야 할 주소(다음 명령어가 존재하는 주소)인 0x400005가 스택에 push(== 1. rsp -= 8  2. push val) 되고

2) rip가 call된 주소인 0x401000으로 옮겨갔음(jmp)을 확인할 수 있다. 

 

LEAVE📜

- leave: 스택프레임 정리 (스택 프레임 == 함수별로 서로가 사용하는 스택의 영역을 명확히 구분해주는 것.

                                                                       -> 이는, 함수마다 사용하는 스택의 영역이 다름을 의미한다)

 

연산
mov rsp, rbp
pop rbp

 

예제
[Register]
rsp = 0x7fffffffc400
rbp = 0x7fffffffc480

[Stack]
0x7fffffffc400 | 0x0 <= rsp
...
0x7fffffffc480 | 0x7fffffffc500 <= rbp
0x7fffffffc488 | 0x31337 

[Code]
leave

결과
[Register]
rsp = 0x7fffffffc488
rbp = 0x7fffffffc500

[Stack]
0x7fffffffc400 | 0x0
...
0x7fffffffc480 | 0x7fffffffc500
0x7fffffffc488 | 0x31337 <= rsp
...
0x7fffffffc500 | 0x7fffffffc550 <= rbp

 

*예제와 결과를 통해 leave가 실행되자

1) mov rsp, rbp를 통해, rsp의 값이 rbp의 값인 0x7fffffffc480으로 바뀐 후

2) pop rbp를 통해, rsp가 현재 가리키는 주소인 '0x7fffffffc480'의 값에서 8 증가한 후(x64 레지스터인 rsp 기준, pop을 실행하면 rsp의 주소가 8 증가하며 rsp가 가리키던 값을 [피연산자]에 저장한다)

3) rsp가 가리키던 주소인 '0x7fffffffc480'의 데이터인 '0x7fffffffc500'이 rbp에 대입되었음을 알 수 있다

 

RET📜

- ret : return address로 반환

 

연산
pop rip

 

예제
[Register]
rip = 0x401008
rsp = 0x7fffffffc3f8

[Stack]
0x7fffffffc3f8 | 0x400005    <= rsp
0x7fffffffc400 | 0

[Code]
0x400000 | call 0x401000
0x400005 | mov esi, eax
...
0x401000 | mov rbp, rsp  
...
0x401007 | leave
0x401008 | ret  <= rip

결과
[Register]
rip = 0x400005
rsp = 0x7fffffffc400

[Stack]
0x7fffffffc3f8 | 0x400005
0x7fffffffc400 | 0x0    <= rsp

[Code]
0x400000 | call 0x401000
0x400005 | mov esi, eax   <= rip
...
0x401000 | mov rbp, rsp  
...
0x401007 | leave
0x401008 | ret

 

*예제와 결과를 통해,

1) pop rip가 수행되어

2) rsp의 값이 8 증가되고

3) rsp가 원래 가리키던 주소인 '0x7fffffffc3f8'에 저장돼있던 데이터인 '0x400005'가 rip에 대입되어

4) rip가 call 되기 전 함수의 다음 명령어를 수행하기 위해 return 되었음을 알 수 있다

 

이를 더 잘 이해하기 위해서는, 

1. 스택 프레임

2. 함수 프롤로그, 콜, 에필로그

를 검색해 스스로 더 공부해봐야 한다

 

시스템 콜📟

서론

운영체제는 연결된 모든 하드웨어 및 소프트웨어에 접근할 수 있으며, 이들을 제어할 수도 있습니다. 그리고 해킹으로부터 이 막강한 권한을 보호하기 위해 커널 모드와 유저 모드로 권한을 나눕니다.

 

- 커널 모드는 운영체제가 전체 시스템을 제어하기 위해 시스템 소프트웨어에 부여하는 권한입니다. 파일시스템, 입력/출력, 네트워크 통신, 메모리 관리 등 모든 저수준의 작업은 사용자 모르게 커널 모드에서 진행됩니다. 커널 모드에서는 시스템의 모든 부분을 제어할 수 있기 때문에, 해커가 커널 모드까지 진입하게 되면 시스템은 거의 무방비 상태가 됩니다.

 

- 유저 모드는 운영체제가 사용자에게 부여하는 권한입니다. 브라우저를 이용하여 웹페이지를 보거나, 유튜브를 시청하는 것, 게임을 하고 프로그래밍을 하는 것 등은 모두 유저 모드에서 이루어집니다. 리눅스에서 루트 권한으로 사용자를 추가하고, 패키지를 내려 받는 행위 등도 마찬가지입니다. 유저 모드에서는 해킹이 발생해도, 해커가 유저 모드의 권한까지 밖에 획득하지 못하기 때문에 해커로 부터 커널의 막강한 권한을 보호할 수 있습니다.

 

시스템 콜(system call, syscall)

유저 모드에서 커널 모드의 시스템 소프트웨어에게 어떤 동작을 요청하기 위해 사용.
도움이 필요하다는 요청을 시스템 콜이라고 함. 
유저 모드의 소프트웨어가 필요한 도움을 요청하면, 커널이 요청한 동작을 수행하여 유저에게 결과를 반환해줌.

 

리눅스에서는 x64아키텍쳐에서 rax로 무슨 요청인지 나타내고, 아래의 순서대로 필요한 인자를 전달
인자 순서: rdi → rsi → rdx → rcx → r8 → r9 → stack

 

해석

 

syscall 테이블

syscall          rax      arg0 (rdi)                                arg1 (rsi)                                      arg2 (rdx)

read	0x00	unsigned int fd	char *buf	size_t count
write	0x01	unsigned int fd	const char *buf	size_t count
open	0x02	const char *filename	int flags	umode_t mode
close	0x03	unsigned int fd
mprotect	0x0a	unsigned long start	size_t len	unsigned long prot
connect	0x2a	int sockfd	struct sockaddr * addr	int addrlen
execve	0x3b	const char *filename	const char *const *argv	const char *const *envp

syscall table을 보면, rax가 0x1일 때, 커널에 write 시스템콜을 요청합니다. 이때 rdi, rsi, rdx가 0x1, 0x401000, 0xb 이므로 커널은 write(0x1, 0x401000, 0xb)를 수행하게 됩니다.

write함수의 각 인자는 출력 스트림, 출력 버퍼, 출력 길이를 나타냅니다. 여기서 0x1은 stdout이며, 이는 일반적으로 화면을 의미합니다. 0x401000에는 Hello World가 저장되어 있고, 길이는 0xb로 지정되어 있으므로, 화면에 Hello World가 출력됩니다.