linux process 생성

linux에서는 fork(), vfork(), clone() 시스템 콜로 자식 프로세스를 생성 할 수 있다.


fork, vfork, clone 모두 do_fork()를 호출한다.
fork, vfork, clone 모두 인터럽트를 이용해서 커널의 sys_fork, sys_clone, sys_vfork를 호출하고 이 세 함수 모두 특정 플래그를 첫번째 인자로 넘겨 결국엔 do_fork()를 호출한다.

세번 째 인자인 pt_regs는 커널스택의 레지스터값이고 스택에도 pt_regs구조체에 맞게 레지스터 값이 들어간다.(pt_regs는 윈도우즈 context구조체같이 레지스터값들을 변수로 갖고있다)

do_fork()함수는 부모 프로세스로부터 clone_flags값에 따라 여러 자원들을 복사하는 일을하고 실제 처리는 copy_process()에서 일어난다.

long do_fork(unsigned long clone_flags,
                    unsigned long stack_start,
                    struct pt_regs *regs,
                    unsigned long stack_size,
                    int __user *parent_tidptr,
                    int __user *child_tidptr)

fork, vfork, clone 모두 부모 프로세스와 동일한 프로세스를 자식 프로세스로 생성하였다.
execve 는 사용하던 공간을 해제하고 새로운 공간에 다른 프로세스를 로드하고 실행한다.

커널안에 sye_execve()로 정의되어 있는 execve() 는 do_execve()를 호출한다. do_fork()처럼 커널 스택의 pt_regs의 주소를 인자로 넘겨준다. do_execve()도 여러 자원을 복사해두고 바이너리 로더를 하나하나 테스트한다.
* exe*()함수 전부 execve시스템콜 호출

elf파일은 elf 바이너리 로더를 사용하고 elf_load_binary()함수를 통해서 바이너리를 로딩한다.

elf_load_binary()함수의 개요
1. 헤더 체크
2. 프로그램 헤더를 읽는다.
3. 파일 디스크립터 구조체의 공유를 중지 - unshare_files()
4. ELF 헤더에서 인터프리터가 지정되어 있을 경우 대상파일을 오픈하고 헤더체크
5. 새 프로그램을 로드하기 위한 준비 - flush_old_exec()
6. 실행 파일등을 스택에 매핑 - setup_arg_pages()
7. 헤더에 따라 elf_map함수를 호출해 프로그램 매핑
8. 인터프리터 지정시 매핑 - load_elf_interp()
9. 프로그램 실행할 때 레지스터(pt_regs)초기화.


리눅스의 bash도 위의 fork와 execve를 사용하여 명령어를 실행한다.

기본적으로 bash는 무한루프를 돌면서 사용자의 입력을 기다리고 있는다.
사용자가 명령어를 입력하면 fork()를 이용하여 bash 자신과 똑같은 자식프로세스를 하나 생성한다.
fork()의 return 값에 따라 부모는 자식 프로세스가 끝날 때까지 기다리는 루틴으로 진입하고 자식프로세스는 execve(사용자의입력)를 호출하게된다.
execve()가 호출되면서 bash 자식프로세스는 메모리에서 내려가고 execve()함수에 의해서 사용자의입력 프로그램이 새롭게 메모리에 올라가게된다.
bash 자식 프로세스가 죽었으니 bash 부모 프로세스는 다시 사용자의 입력을 기다리게된다.
이런식으로 명령어를 실행하게 된다.


참고문헌 : 리눅스커널2.6구조와원리
Read more

_start, __libc_start_main, main

_start, __libc_start_main, main

hello를 출력하는 hello



C언어로 작성한 간단한 elf파일의 헤더를 보면 실행파일의 시작주소값인 Entry point address에 _start 의 주소가 들어있는가 있다. 프로그램을 실행하면 _start함수부터 실행이 될것이다. 따라가보장

그 전에 _start함수가 호출되기 전의 스택에는 hello의 argc, argv, env값이 들어가있다.(커널이 구성한다.)


_start함수는 그냥 인자(argv, argc,..)들을 스택에 넣어주고 __libc_start_main을 호출
(gdb로 따라가다보면 __libc_start_main를 처음 호출하는거라 바로 호출안하고 plt에서 got쓰는 다이나믹 링킹하고 호출)

int __libc_start_main(  int (*main) (int, char * *, char * *),
          int argc, char * * ubp_av,
          void (*init) (void),
          void (*fini) (void),
          void (*rtld_fini) (void),
          void (* stack_end));


env.
__libc_csu_init 호출


_init 호출


gmon 프로파일링 시스템초기화를 위한 call_gmon_start호출(필요하다면) 
익셉션 처리를 위한 unwinding stack을 설정하기 위해 frame_dummy를 호출 
생성자를 호출하는 __do_global_ctors_aux를 호출
(생성자가 코딩되어있으면 __do_global_ctors_aux안에서 호출)


__libc_start_main으로 돌아와서 main 함수 호출, hello 출력하고
exit호출, 소멸자 있으면 exit에서 소멸자 호출.



Read more

ANTI DEBUG 기법들(종명이형 강의 간단정리)

ANTI DEBUG
1. snapshot
     process context snapshot

2. checksum

3. packing
     section 권한 체크
     *virtualprotect - 권한 변경 함수
     암호화
     EP는 암호화를 푸는 루틴, 암호화 푸는 루틴이 실행되면서 암호화가 풀리면서 진짜 코드가
     쓰기, 실행가능한 영역에 써짐, 복호화된 코드의 시작이 OEP, 프로그램 실행!

4. garbage code
     prefix, code에 공백등 넣어서 디버거가 파싱하지 못하도록!

5. SEH
     강제로 exception 발생시켜 SEH에 정상루틴처리, 디버거가 물려있으면 SEH루틴 확인을 하기 힘듬

6. PEB
     InDebuggerPresent, FS[30]이용해서 디버거 물려있는지 확인

7. 난독화
     code 난독화로 해석하기 힘들게함

8. Time check (CPU clock check)

9. CC
     디버거의 특성을 이용해서 CC를 복사하는지 확인

10. 가상화
     가상으로 CPU를 만드는 개념
     55/8b ec를 push ebp, mov esp, ebp로 해석하지만 가상 cpu를 만들어서
     예를들면 66/92 d3를 push ebp, mov esp, ebp로 해석하도록 함

11. Control flow 난독화
     check값에 맞는 opcode를 수행, check++등을 이용해서 다음 opcode로 이동
     check 값을 전역변수로 놓으면 찾기 힘듬

*더미다는 10, 11을 기반으로 만들어진 패커
Read more