Reverse Engineering
아이다(IDA)의 Debugging - FOR문 분석
Dakuo
2009. 11. 5. 17:59
C언어로 for문을 컴파일한 것을 IDA로 분석해보자.
#include <stdio.h>
int main(void)
{
int i = 0;
int result = 0;
for ( i ; i < 5 ; i++ )
{
result = i;
}
}
IDA 그래프 기능으로 본 해당 소스의 전체적인 흐름이다.
가운데 지점에서 빨간선과 초록선으로 분기를 하고 초록선으로 이동하면 일을 수행후 종료가 되며 빨간선으로 이동하면 일을 수행한 후 다시 돌아온다.
.text:00411360 push ebp 에 breakpoint를 설정한다.
(Tip : 디어셈블된 상태에서 분석할 때 마우스로 함수를 더블클릭(Enter)하면 함수 안으로 들어갈수 있다. 함수를 선택후 Alt+Enter을 누르면 새 창이 뜨면서 그래프로 함수의 내용을 보여준다)
디버그 모드로 전환(F9)하여 분석을 해보겠다.
다음은 Main함수이다.
.text:00411360 main proc near ; CODE XREF: j_mainj
.text:00411360
.text:00411360 var_D8= byte ptr -0D8h // 변수 선언
.text:00411360 var_14= dword ptr -14h // 변수 선언 : int result;
.text:00411360 var_8= dword ptr -8 // 변수 선언 : int i;
.text:00411360
.text:00411360 push ebp
.text:00411361 mov ebp, esp
.text:00411363 sub esp, 0D8h
.text:00411369 push ebx
.text:0041136A push esi
.text:0041136B push edi
.text:0041136C lea edi, [ebp+var_D8]
.text:00411372 mov ecx, 36h
.text:00411377 mov eax, 0CCCCCCCCh
.text:0041137C rep stosd
.text:0041137E mov [ebp+var_8], 0 // [ebp+var_8] 에 0을 대입 : i = 0
.text:00411385 mov [ebp+var_14], 0 // [ebp+var_14]에 0을 대입 : result = 0
.text:0041138C jmp short loc_411397 // loc_411387로 점프
: int i = 0; , int result = 0;
.text:0041138E ; --------------------------------------------------------------------
.text:0041138E
.text:0041138E loc_41138E: ; CODE XREF: main+43j
.text:0041138E mov eax, [ebp+var_8] // [ebp+var_8]값을 eax에 대입
.text:00411391 add eax, 1 // eax+=1
.text:00411394 mov [ebp+var_8], eax // eax값을 [ebp+var_8]에 대입
: i++
.text:00411397
.text:00411397 loc_411397: ; CODE XREF: main+2Cj
.text:00411397 cmp [ebp+var_8], 5 // i와 5를 비교
.text:0041139B jge short loc_4113A5 // [ebp+var_8]이 5보다 크거나 같으면 4113A5 점프
.text:0041139D mov eax, [ebp+var_8] // [ebp+var_8]값을 eax에 대입
.text:004113A0 mov [ebp+var_14], eax // eax값을 [ebp+var_14]에 대입
.text:004113A3 jmp short loc_41138E // 41138E로 점프
: i < 5 비교 만족하면 result = i; 만족하지 않으면 4113A5로 점프
for()문이 있는 프로그램을 디버깅했다. while()문도 for()문과 같은 작동을 하는 코드를 작성하여 IDA로 열면 비슷한 디어셈블 결과를 볼 수 있을 것이다.
#include <stdio.h>
void main()
{
int i = 0;
int result = 0;
while(i<5)
{
result = i;
i++;
}
}
#include <stdio.h>
int main(void)
{
int i = 0;
int result = 0;
for ( i ; i < 5 ; i++ )
{
result = i;
}
}
IDA 그래프 기능으로 본 해당 소스의 전체적인 흐름이다.
가운데 지점에서 빨간선과 초록선으로 분기를 하고 초록선으로 이동하면 일을 수행후 종료가 되며 빨간선으로 이동하면 일을 수행한 후 다시 돌아온다.
.text:00411360 push ebp 에 breakpoint를 설정한다.
(Tip : 디어셈블된 상태에서 분석할 때 마우스로 함수를 더블클릭(Enter)하면 함수 안으로 들어갈수 있다. 함수를 선택후 Alt+Enter을 누르면 새 창이 뜨면서 그래프로 함수의 내용을 보여준다)
디버그 모드로 전환(F9)하여 분석을 해보겠다.
다음은 Main함수이다.
.text:00411360 main proc near ; CODE XREF: j_mainj
.text:00411360
.text:00411360 var_D8= byte ptr -0D8h // 변수 선언
.text:00411360 var_14= dword ptr -14h // 변수 선언 : int result;
.text:00411360 var_8= dword ptr -8 // 변수 선언 : int i;
.text:00411360
.text:00411360 push ebp
.text:00411361 mov ebp, esp
.text:00411363 sub esp, 0D8h
.text:00411369 push ebx
.text:0041136A push esi
.text:0041136B push edi
.text:0041136C lea edi, [ebp+var_D8]
.text:00411372 mov ecx, 36h
.text:00411377 mov eax, 0CCCCCCCCh
.text:0041137C rep stosd
.text:0041137E mov [ebp+var_8], 0 // [ebp+var_8] 에 0을 대입 : i = 0
.text:00411385 mov [ebp+var_14], 0 // [ebp+var_14]에 0을 대입 : result = 0
.text:0041138C jmp short loc_411397 // loc_411387로 점프
: int i = 0; , int result = 0;
.text:0041138E ; --------------------------------------------------------------------
.text:0041138E
.text:0041138E loc_41138E: ; CODE XREF: main+43j
.text:0041138E mov eax, [ebp+var_8] // [ebp+var_8]값을 eax에 대입
.text:00411391 add eax, 1 // eax+=1
.text:00411394 mov [ebp+var_8], eax // eax값을 [ebp+var_8]에 대입
: i++
.text:00411397
.text:00411397 loc_411397: ; CODE XREF: main+2Cj
.text:00411397 cmp [ebp+var_8], 5 // i와 5를 비교
.text:0041139B jge short loc_4113A5 // [ebp+var_8]이 5보다 크거나 같으면 4113A5 점프
.text:0041139D mov eax, [ebp+var_8] // [ebp+var_8]값을 eax에 대입
.text:004113A0 mov [ebp+var_14], eax // eax값을 [ebp+var_14]에 대입
.text:004113A3 jmp short loc_41138E // 41138E로 점프
: i < 5 비교 만족하면 result = i; 만족하지 않으면 4113A5로 점프
for()문이 있는 프로그램을 디버깅했다. while()문도 for()문과 같은 작동을 하는 코드를 작성하여 IDA로 열면 비슷한 디어셈블 결과를 볼 수 있을 것이다.
#include <stdio.h>
void main()
{
int i = 0;
int result = 0;
while(i<5)
{
result = i;
i++;
}
}