25 Haziran 2015 Perşembe

x86 Internals for Fun and Profit - Matt Godbolt

11 Mayıs 2015 Pazartesi

Exploitationdan Önce - 3: x86 Assembly Dili

Assembly programlama dili, C++, C# ve Java gibi programlama dilleri ile makine dili arasında bulunan düşük seviyeli bir programlama dilidir. Bu programlama dilinde işlemci türü ve mimarisine göre kod ve komutlar değişmektedir. Assembly dili ile donanım seviyesine erişimin çok hızlı olması nedeniyle yüksek seviyeli dillere göre çok daha hızlı çalışan uygulamalar gerçekleştirilebilmektedir. Birçok uygulamada performans ve hız gerektiren kısımlar çoğu zaman assembly ile geliştirilmiştir. Aygıt sürücüleri, video oyunları gibi alanlar bu dilin sık kullanıldığı alanlardır. Assembly dili işlemci ve işletim sistemine özel bir dil olması yazılan kodun farklı sistemlerde çalışmasına engel olabilmektedir.

Temel x86 Komutları

x86 komut setini bir blog yazısı ile anlatmak esasen pek mümkün değil. Ancak bu yazıdaki amaç debug ve tersine mühendislik işlemleri ile uğraşmak isteyenlerin inceledikleri assembly kod öbeklerinin büyük bir bölümünü anlayabilecek seviyeye gelmelerini sağlamakdır.  Daha önce bu konu ile ilgili yapılan bir incelemede Daniel Bilar (2006), 20 farklı uygulamada gerçekleştirmiş olduğu çalışmada uygulama içinde bulunan assembly komutlarının %90 lık kısmını 14 assembly komutunun doldurduğunu belirtmiş. Bu yazıda da bu komutlar üzerinden anlatımlar gerçekleştirilecektir.

Kaynak: http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Bilar.pdf

NOP

Hiç bir işlem gerçekleştirmeyen bir makina kodudur. Programlama veya derlemede genellikle bir komutun kullanımında boşta kalan alanların doldurulmasında kullanılır. Exploit geliştirme çalışmalarında ise yazılan exploit kodunun güvenilir ve sağlam olması için bu komut  kullanılmaktadır.

PUSH/POP

PUSH/POP komutları stack alanına veri eklemek yada çıkarmak için kulanılan komutlardır. PUSH Komutu 4 byte uzunluğundaki veriyi stack’e ekler ve ESP değerini 4 azaltır. Stack büyümesini, düşük adres alanına doğru gerçekleştirdiği için çıkartma işlemi yapılmaktadır.
Aynı şekilde POP işlemi sırasında da stack alanının en üst noktasından (top of the stack) 4 byte uzunluğunda bir veri alınır ve ESP değeri 4 artırılıtr.


CALL/RET

CALL assembly komutu ile program akışı uygulamanın kod alanı içinde başka bir yerde bulunan bir fonksiyon alanına gider ve fonsiyonun işlemi tamamlandıktan sonra ana program akışı içinde kaldığı yerden devam eder. CALL ile çağırılan fonksiyonun işlemleri tamamlandıktan sonra ana kod akışında kaldığı yerden devam etmesi için çağırılan fonksiyonda RET assembly komutunun çalıştırılması gerekmektedir.

CALL Komutu çalıştırıldığında aşağıdaki işlemler gerçekleştirilmektedir.
  • Bir sonraki komut adresi stack üzerine eklenir. (Bu değer fonksiyon RET komutu ile ana fonksiyona geldiğinde kaldığı yerden devam edeceği adres bilgisidir.)
  • EIP değerine CALL komutunda gösterilen adres değeri atanır.


MOV

MOV komutu ile iki yazmaç arasında, yazmaçlarla hazfıza arasında veri taşımak veya bahsedilen bu alanlara bir değer atamak için kullanılan bir komuttur. Bu komut, memory adresleri arasında kullanılmaz.
mov eax, ebx
mov eax, [ebx]

LEA

LEA Komutu(Load Effective Address) etkin adresi yükle anlamındadır. MOV komutundan farklı olarak MOV komutu ile register’a bir hafızadan veya register’dan yüklersiniz. Oysa LEA komutu ile register’ao yerdeki değerideğil, oranın adresini yüklersiniz. Bu sekilde iki yada üç komut ile yapılacak bir işlemi tek bir komut ile yapabilirsiniz. Böylelikle, LEA komutu, herhangi bir register’a bir bellek adresini yükleme amacı ile kullanılmış olur.

lea register, adres
lea register, [adres]

ADD/SUB

ADD ve SUB komutları isimlerinden de anlaşılacağı üzere toplama çıkartma işlemlerinde kullanılan komutlardır. İşlem sonucunda elde edilen değeri ilk operand’a yazar.

add register, register
add memory, memory
...

sub register, register
sub memory, memory
...

CMP

iki farklı değerin karşılaştırılmasında kullanılan bir komuttur. Çoğunlukla şartlı işlem gerçekleştirme öncesinde kullanılırlar. Bu komut ile iki operand karşılaştırma amacı ile birbirinden çıkartılır. Bu işlem gerçekleştirilirken kullanılan operand’ların değeri değiştirmez. Ancak işlemcide bulunan bayraklar üzerinde etkisi bulunmaktadır.

CMP Operand1, Operand2

Karşılaştırma işleminde bayrak durumları aşağıdaki gibi olmaktadır.

Bayrak
CMP Durumu
ZF (Zero Flag)
İki değer birbirine eşit ise set edilir.
CF (Cary Flag)
Operand2 büyük ise 1, Operand2 büyük ise 0 set edilir.
OF (Overflow Flag)
Operand2 büyük ise,
SF=0 OF=1 veya SF=1 OF=0
Operand1 büyük ise,
SF=0 OF=0 veya SF=1 OF=1
SF (Sign Flag)

AND/OR/XOR/NOT

Bu komutlar mantıksal işlemlerin gerçekleştirilmesinde kullanılan komutlardır. Bu komutların kullanımı aşağıdaki gösterimde daha iyi anlaşılacaktır.
AND Operand1, Operand2
Operand1
1010
Operand2
0110
İşlem Sonucunda Operand1
0010

OR Operand1, Operand2
Operand1
1010
Operand2
0110
İşlem Sonucunda Operand1
1110

XOR Operand1, Operand2
Operand1
1010
Operand2
0110
İşlem Sonucunda Operand1
1100

NOT Operand1
Operand1
1010
İşlem Sonucunda Operand1
0101

TEST

Test komutu, operand’lar üzerinde herhangi bir işlem yapmadan AND işlemi gerçekleştiren komuttur. İşlem sonucundan etkilenenlersadece bayraklardır. Etkilenen bayraklar CF OF PF SF ZF bayraklarıdır. İşlemde kullanılacak verilerin büyüklüklerinebağlı olarak TEST işleminde kullanılan opcode değerleri de farklılık gösterebilirler.

test operand1, operand2

Örneğin yukarıdaki işlem sonucunda eğer sonuç sıfır ise ZF değeri 1 olarak işaretlenir. Eğer operand2 değeri negatif ise SF değeri 1 olarak işaretlenir.

JMP

JMP komutu ile koşulsuz olarak, program akışı istenilen bir noktaya dönüş değeri olmaksızın yönlendirilmiş olur. Bu komutta kullanılan operand atlama yapılacak adres değerini göstermektedir.

JMP operand1

JCC

JCC komutları ile belli bir şarta bağlı olarak program kodu içinde şartlı akış gerçekleştirilir. Bu komut ile EFLAG yazmacı içindeki bayrak değerlerinin durumuna göre atlama (jmp) işlemi gerçekleştirilir. Bu komutlar ile ilgili tablo aşağıda görülmektedir.

Instruction
Description
signed-ness
Flags
short
jump
codes
near
jump
opcodes
JO
Jump if overflow
OF = 1
70
0F 80
JNO
Jump if not overflow
OF = 0
71
0F 81
JS
Jump if sign
SF = 1
78
0F 88
JNS
Jump if not sign
SF = 0
79
0F 89
JE
JZ
Jump if equal
Jump if zero
ZF = 1
74
0F 84
JNE
JNZ
Jump if not equal
Jump if not zero
ZF = 0
75
0F 85
JB
JNAE
JC
Jump if below
Jump if not above or equal
Jump if carry
unsigned
CF = 1
72
0F 82
JNB
JAE
JNC
Jump if not below
Jump if above or equal
Jump if not carry
unsigned
CF = 0
73
0F 83
JBE
JNA
Jump if below or equal
Jump if not above
unsigned
CF = 1 or ZF = 1
76
0F 86
JA
JNBE
Jump if above
Jump if not below or equal
unsigned
CF = 0 and ZF = 0
77
0F 87
JL
JNGE
Jump if less
Jump if not greater or equal
signed
SF <> OF
7C
0F 8C
JGE
JNL
Jump if greater or equal
Jump if not less
signed
SF = OF
7D
0F 8D
JLE
JNG
Jump if less or equal
Jump if not greater
signed
ZF = 1 or SF <> OF
7E
0F 8E
JG
JNLE
Jump if greater
Jump if not less or equal
signed
ZF = 0 and SF = OF
7F
0F 8F
JP
JPE
Jump if parity
Jump if parity even
PF = 1
7A
0F 8A
JNP
JPO
Jump if not parity
Jump if parity odd
PF = 0
7B
0F 8B
JCXZ
JECXZ
Jump if %CX register is 0
Jump if %ECX register is 0
%CX = 0
%ECX = 0
E3

Komut Gösterimi

Assembly de bilinen farklı iki kod gösterimi bulunmaktadır. Unix türevi sistemler, AT&T komut gösterimini kullanırken, Windows sistemleri ise INTEL komut gösterimini kullanmaktadırlar. Gerekli yapılandırmalar yapıldığı taktirde Unix uygulamalarında da INTEL kod gösterimi ile çalışılabilmektedir.

Örnek INTEL kod gösterimi
4004ac: 55                    push   rbp
4004ad: 48 89 e5              mov    rbp,rsp
4004b0: 89 7d fc              mov    DWORD PTR [rbp-0x4],edi
4004b3: 48 89 75 f0           mov    QWORD PTR [rbp-0x10],rsi
4004b7: b8 00 00 00 00        mov    eax,0x0
4004bc: 5d                    pop    rbp
4004bd: c3                   ret    

Örnek AT&T kod gösterimi
4004ac: 55                    push   %rbp
4004ad: 48 89 e5              mov    %rsp,%rbp
4004b0: 89 7d fc              mov    %edi,-0x4(%rbp)
4004b3: 48 89 75 f0           mov    %rsi,-0x10(%rbp)
4004b7: b8 00 00 00 00        mov    $0x0,%eax
4004bc: 5d                    pop    %rbp
4004bd: c3                    retq

Kaynaklar: