이 책의 예제 프로그램은 edit@acornpub.co.kr로 문의 주시면 받아보실 수 있습니다.

소프트웨어를 해부해서 설계와 구현 내용, 심지어 소스코드까지도 알아낼 수 있어서 최근 보안업계의 화두로 떠오른 리버싱. 복제방지기술 무력화와 상용보안대책 무력화로 무장한 해커들의 리버싱 공격 패턴을 파악하기 위한 최신 기술을 담은 해킹 보안 업계 종사자의 필독서. 소프트웨어의 약점을 찾아내 보완하고, 해커의 공격이나 악성코드를 무력화하며, 더 좋은 프로그램을 개발할 수 있도록 프로그램의 동작 원리를 이해하는 데도 효율적인 리버스 엔지니어링의 비밀을 파헤친다.


[ 이 책에서 다루는 내용 ]

■ IA-32 호환 프로세서용 컴파일러가 만든 어셈블리 언어 코드를 읽는 방법
■ 문서화되지 않은 파일 포맷이나 네트워크 프로토콜 해석
■ 리버스 엔지니어링이 합법인 경우와 불법인 경우, 그리고 불법일 때의 이유
■ 리버싱을 활용해 해커가 복사 방지 기술을 무력화하는 방법
■ 리버스 엔지니어링을 적용해 악성코드를 무력화하는 방법
■ 코드 리버싱을 막는 방어책과 효과적인 수행 방법
■ 닷넷 플랫폼 리버싱과 어셈블리 언어인 MSIL
■ 실제 악성코드 프로그램 분석 방법
■ 악성코드 프로그램을 이용해 공격자가 감염된 시스템 제어권을 획득하는 과정


[ 이 책의 구성 ]

이 책은 크게 4부로 나뉘어 있다. 1부는 이 책 전반을 이해하는 데 필요한 기본 내용을 제공하고, 2부에서 4부까지는 각각 리버스 엔지니어링 시나리오와 실례를 설명한다.

■ 1부. 리버싱 입문: 이 책은 로우레벨 소프트웨어를 이해하는 데 필요한 모든 기본적인 내용에 대한 논의로 시작한다. 알다시피 1부에서 모든 내용을 다루는 것은 불가능하다. 다만 이미 알고 있는 내용을 다시 되새겨주는 기회가 될 것이다. 1부를 읽으며 내용이 생소하다고 느껴지는 독자라면 이 책은 적합한 책이 아니다. 1부에서 주로 다루는 주제는 다음과 같다. 리버스 엔지니어링 소개와 다양한 적용 분야(1장), 로우레벨 소프트웨어 개념(2장), 마이크로소프트 운영체제의 내부(3장). 이런 주제와 일반적인 로우레벨 소프트웨어를 많이 접해 봤다면 1~3장은 굳이 읽지 않고 건너 뛰어도 된다. 4장은 다양한 타입의 리버스 엔지니어링 툴을 소개하고, 다양한 상황에서 적절히 사용할 수 있는 특별한 형태의 툴을 설명한다. 이 책에서는 전반에 걸쳐, 리버스 엔지니어링에 사용되는 갖가지 툴을 설명한다.

■ 2부. 리버싱 실전: 2부에서는 실제 소프트웨어에 대한 실제적인 리버스 엔지니어링 프로젝트를 수행한다. 각 장마다 다양한 종류의 애플리케이션에 대한 리버스 엔지니어링을 설명한다. 5장에서는 윈도우 내부 서비스와 API를 좀 더 잘 사용할 수 있도록 운영체제나 다른 업체의 라이브러리를 리버스 엔지니어링하는 방법을 알려준다. 6장에서는 데이터 리버스 엔지니어링 기술을 적용해서 문서화되지 않은 파일 포맷을 해석하는 방법을 설명한다. 7장에서는 리버스 엔지니어링 기술을 사용해 실행 바이너리에서 보안 취약점을 발견해내는 방법을 배워본다. 마지막으로 8장에서는 바이러스나 웜과 같은 악성코드 소프트웨어를 설명한다. 8장에서는 실제 악성코드 프로그램을 리버스 엔지니어링 해본다. 이는 악성코드 프로그램을 연구하고 위험성을 평가하기 위해 반드시 필요한 작업이다.

■ 3부. 크래킹: 3부에서는 복사 방지와 디지털 저작권 관리(DRM) 기술과 같은 특정한 형태의 보안 관련 코드에 대한 리버스 엔지니어링에 초점을 맞춘다. 9장에서는 복사 방지 기술의 일반적인 원리를 소개하고, 10장에서는 복사 방지와 DRM 기술과 같은 안티 리버스 엔지니어링 기술들을 설명하며 그 기술의 유효성을 평가할 것이다. 11장에서는 크래커가 복사 방지 메커니즘을 무력화해서 복사 방지된 컨텐츠를 훔치기 위해 리버스 엔지니어링을 어떻게 이용하는지 알아본다.

■ 4부. 고급 디스어셈블리: 4부에서는 실행 프로그램의 디스어셈블리 이외 부분을 다룬다. 12장에서는 마이크로소프트 닷넷 기반 플랫폼에서 작성된 가상 머신 기반의 프로그램을 리버스 엔지니어링하는 과정을 설명한다. 또한 닷넷 플래폼을 소개하고 그것의 로우레벨 어셈블리 언어인 MSIL(Microsoft Intermediate Language)도 설명한다. 13장에서는 디컴파일의 이론적인 설명과 그것이 어떻게 작동하는지, 네이티브 어셈블리 언어 코드를 디컴파일하는 것이 왜 그렇게 어려운 것인지 설명한다.

■ 부록: 인텔 IA-32 어셈블리 언어로 작성된 프로그램을 해석하는 데 도움이 될 수 있는 내용을 부록으로 다룬다. 단순한 어셈블리 언어의 레퍼런스 가이드를 넘어서 이 책이 제공하는 부록에서는 많이 사용되고 있는 컴파일러에 의해 제거된 컴파일러의 표현 방법과 코드, 그들을 구별하고 해석하는 방법을 설명한다.


[ 이 책의 대상 독자 ]

이 책은 여러 분야에 종사하는 사람들에게 도움이 되는 기술을 다양하게 다룬다. 운영체제, 어셈블리 언어, 컴파일 같은 소프트웨어의 다양한 로우레벨 측면을 알고 싶어 하는 소프트웨어 개발자는 특히 더 유용한 정보를 많이 찾을 수 있을 것이다. 운영체제나 소프트웨어 라이브러리, 특정 소프트웨어 컴포넌트 등 기존 코드를 빠르고 효과적으로 분석할 수 있는 기술을 향상시키려는 사람에게도 유용할 것이다. 이외에도 이 책은 보안이나 저작권 제어 등과 같은 다양한 주제도 들어 있으므로, 리버스 엔지니어링에 특별한 관심이 없더라도 이 책이 다루는 다양한 주제에서 흥미로운 내용을 찾을 수 있을 것이다.

이 책을 읽기 전 선수 지식을 제공하기 위해 나는 비교적 최신의 기술 사항들을 가능한 한 모두 다루려고 노력했다. 따라서 1부는 이 책을 읽는 데 꼭 필요한 기본 지식을 설명하면서 시작한다. 하지만 이 책에서 정말로 많은 것을 얻기 원하는 독자라면 어느 정도의 소프트웨어 개발 경험이나 지식은 갖추는 편이 좋다. 전문적인 소프트웨어 개발 경험은 전혀 없지만 현재 컴퓨터 공학을 전공하는 학생이라면 이 책을 읽는 데 큰 문제는 없을 것이다. 반대로 컴퓨터를 전공한 적은 없지만 수년간 프로그래밍 작업을 수행해 온 사람이라면 이 책에서 더 많은 내용을 배울 수 있을 것이다.

마지막으로 이 책은 로우레벨 소프트웨어와 리버스 엔지니어링 경험이 이미 있는 사람 중에서 흥미로운 고급 기술을 배우길 원하거나 기존 코드에서 상세한 정보를 추출하는 방법을 알고자 하는 사람들에게 도움이 많이 될 것이다.


[ 추천의 글 ]

우리는 소프트웨어가 정확히 어떤 작업을 수행하는지 알지 못한 채 소프트웨어를 실행한다. 그런 식으로 실행되는 소프트웨어의 수가 얼마나 많은지 알게 된다면 여러분은 깜짝 놀랄 것이다. 우리는 대개 상용 소프트웨어 패키지를 구입한 후 설치 프로그램을 실행해 프로그램을 설치한다. 소프트웨어가 설치되는 과정에서 수많은 파일이 복사되고 시스템 설정이 변경된다. 또한 이전 버전의 파일들은 삭제되고 중요한 레지스트리 파일이 변경된다. 웹사이트를 방문할 때도 해당 사이트를 제대로 보거나 제공하는 기능을 이용하기 위해 수십 가지 프로그램과 코드를 실행해야 한다. 또한 수많은 게임 CD와 유틸리티 CD를 구입하거나 셰어웨어 형태의 프로그램들을 내려 받는다. 그리고 특정 프로그램의 일부 기능을 사용하기 위해 동료나 친구들과 프로그램을 교환해서 사용하기도 한다.

그러고 나서 소프트웨어 제조사의 프로그램 변경 내용을 전적으로 신뢰한 상태에서 업데이트와 패치를 설치한다. 그리고 프로그램의 최신 변경 내용이 시스템의 다른 프로그램에 아무런 영향도 끼치지 않기를 무턱대고 바라기만 한다. 즉 전혀 알지 못하거나 이해하지 못하는 그 수많은 프로그램에 의존하는 것이다.

지금까지의 내용은 비단 개인용 데스크탑이나 노트북 컴퓨터에만 해당되는 문제가 아니다. 유비쿼터스 컴퓨팅이나 “모든 곳에 소프트웨어를(software everywhere)”이라는 기치 하에 소프트웨어 제어와 소프트웨어 간의 상호 접속 기능이 장치 안에 탑재되는 일이 기하급수적으로 늘어나고 있다. 이제는 아폴로 우주선이 달에 착륙하는 데 필요했던 코드보다 더 많은 소프트웨어 코드가 자동차의 엔진 제어장치에 들어간다.

오늘날 소프트웨어는 너무 복잡하고 서로 연동해서 동작하므로 개발자조차도 애플리케이션의 특징이나 그로 인한 간접적인 영향을 다 알지 못한다. 프로그램의 모든 제어 경로와 사용자 옵션을 테스트하는 데 필요한 비용과 시간이 너무 커서 소프트웨어 테스트를 제대로 수행하지 못하는 경우가 흔하다. 현재는 네트워크 플랫폼이 점점 증가하고 소프트웨어 아키텍처 계층이 다양해지면서, 모든 가능한 조합을 테스트하는 일은 사실상 불가능하다. 마치 마약 거래를 사전에 잡아내는 것처럼, 많은 소프트웨어 시스템이 알려지지 않았거나 예측 불가능한 이슈들을 테스트하고 있다.

리버스 엔지니어링은 소프트웨어를 제대로 이해하기 위한 핵심 기술이며 도구다. 리버스 엔지니어링은 “시스템의 구성 요소와 구성 요소 간의 상관관계를 찾아내고 시스템을 하이레벨의 개념에서 다른 형태로 표현하는 분석 과정”(IEEE 1990)이다. 리버스 엔지니어링을 통해 소프트웨어의 구조와 동작 방식을 시각화할 수 있다. 소프트웨어 조사를 위한 자동화된 툴의 적용과 분석 기술을 통해서 소프트웨어의 복잡성을 이해할 수 있다.

리버스 엔지니어링은 오랫동안 우리 곁에 있어왔다. 개념적으로 보면 누군가 다른 사람의 코드를 보는 일도 리버싱을 수행하는 것이라고 간주할 수 있다. 또한 개발자가 자신이 작성한 코드를 며칠 후에 보는 것도 리버싱이라고 할 수 있다. 리버스 엔지니어링은 어떤 것을 찾아내는 작업이다. 우리는 자신이 작성한 코드든 다른 사람이 작성한 코드든 간에, 누구도 예상하지 못한 것을 조사하고 배우고 살펴볼 수 있다.

1990년까지 소프트웨어 리버스 엔지니어링은 각종 컨퍼런스나 컴퓨터 사용자 그룹의 모임에서 주제로 다뤄왔다. 공학 분야에서 리버스 엔지니어링이 인식되기 시작한 때는 잡지에서 리버스 엔지니어링의 분류와 소프트웨어 설계를 복구하는 개념을 소개하면서부터다. 그 이후로 리버싱 기술, 소프트웨어 시각화, 프로그램 이해, 데이터 리버스 엔지니어링, 소프트웨어 분석을 연구하는 단체가 점점 더 많이 생겨났으며, 그와 관련된 툴과 방법론이 다양하게 개발됐다. 매년 열리는 국제 컨퍼런스인 WCRE(Working Conference on Reverse Engineering)와 같은 행사를 통해서 리버스 엔지니어링 기술은 지속적으로 탐구되고 확대되는 중이다. 요즘에는 플랫폼 마이그레이션, 상호 운용, 악성코드 탐지, 문제 해결 등의 목적으로 이 책의 주된 내용이기도 한 바이너리 리버싱에 대한 관심이 늘고 있다.

“당신은 과연 리버스 엔지니어링을 묵과할 수 있습니까?” 나는 관리 정보 기술 컨설턴트로서 이런 질문을 자주 받아왔다. 그러고는 대개 다음과 같은 질문이 곧바로 뒤따른다. “당신은 소프트웨어를 개발해서 판매해 왔습니다. 그렇다면 다른 사람으로부터 당신의 지적 재산권을 보호하고 존중 받고 싶지 않나요?” 이에 대한 논의는 일반적으로 리버스 엔지니어링 용어에 대한 부정적인 의미로부터 출발한다. 하지만 리버스 엔지니어링 기술은 소프트웨어 공급자와 소비자 모두에게 여러 가지 면에서 가치가 있다.

청진기는 강도가 금고의 잠금장치를 딸 때 소리를 듣기 위한 도구로 이용하기도 한다. 하지만 의사가 심호흡기 질환을 발견하기 위한 도구로도 사용한다. 또는 컴퓨터 기술자가 디스크 드라이브에 잠재적인 해를 끼칠 수 있는 먼지나 꽃가루에 노출되지 않게 밀폐된 디스크 드라이브의 작동 소리를 듣고 문제점을 진단하기 위한 용도로 쓸 수도 있다. 본래부터 좋거나 나쁜 툴은 없다. 다만 툴을 어떤 용도로 사용하느냐에 따라 달라질 뿐이다.

1980년대 초 IBM은 자사의 메인프레임 컴퓨터의 운영체제 소스코드를 고객들에게 더는 제공하지 않기로 결정했다. 메인프레임 고객은 항상 소스코드에 의존해서 IBM 운영체제의 문제점을 해결하고 원하는 용도에 맞게 수정하고 확장해 왔었다. IBM 사용자 그룹은 IBM의 조치에 대해 총기 규제법을 반대하는 사람들이 자신의 주장을 표현하기 위해서 내세우는 유명한 말을 차용해 “SOURCE가 불법이면 법을 위반하는 사람만이 SOURCE를 갖게 될 것이다”라는 식으로 바꿔 조롱을 퍼부었다. 해커와 악성코드 개발자들은 다른 소프트웨어를 해석하는 많은 기술을 이미 알고 있을 것이다. 하지만 이런 기술들은 악의적이지 않은 사람들에게도 유용하다는 사실이 중요하다.

리버스 엔지니어링은 특히 다양한 목적의 소프트웨어 분석에 유용하다.

■ 악성코드 검출: 많은 악성코드 기술들이 까다로운 코드가 어떻게 구조화 되어 있고 어떤 기능을 수행하는지 이해하고자 할 때 리버스 엔지니어링을 이용하다. 상용 악성코드 스캐너나 탐지기는 리버싱을 이용해 시그니처로 사용될 수 있는 인식 가능한 패턴을 판단한다.

■ 예상하지 못한 결함 발견: 훌륭하게 설계된 시스템이라고 할지라도 “순 공학(Forward Engineering)” 개발 기술로 인한 결함이 있을 수 있다. 리버스 엔지니어링을 이용하면 매우 중요한 소프트웨어 결함이 될 수 있는 것은 사전에 찾아낼 수 있다.

■ 남이 작성한 코드 사용 여부 판단: 지적 재산권에 관련된 재판을 지원하는 데에 있어서 보호된 코드나 기술이 애플리케이션 내부의 어디에서 사용되는지 알아내는 것은 중요하다. 리버스 엔지니어링을 이용하면 법적으로 문제가 되는 소프트웨어 요소의 존재 여부를 판단할 수 있다.

■ 셰어웨어와 오픈소스 코드의 사용 여부 판단: 소프트웨어 제품이 비공개적이나 독점적으로 사용되는 것이라면 공개된 코드를 쓰는 것 자체가 문제가 될 수 있다. 리버스 엔지니어링을 이용하면 코드가 복제됐는지 알 수 있다.

■ 남이 개발한 제품의 목적이나 영역에 대한 학습: 리버스 엔지니어링을 통해서 향상된 소프트웨어 학습이 가능하며 훌륭한 제품을 조사할 수 있다. 리버스 엔지니어링은 코드 지식을 쌓고 배우는 데 유용한 수단이 될 수 있다. 웹사이트를 만들 때 다른 웹사이트를 많이 참고한다. 수많은 웹 개발자들이 남들이 만든 웹사이트의 소스를 보면서 HTML과 웹 프로그래밍 기술을 배운다.

■ 원래 개발자가 미처 깨닫지 못한 특징이나 기회의 발견: 코드의 복잡성은 새로운 기술 혁신을 유발할 수 있다. 기존 기술을 새로운 환경에서 재사용하는 것이 가능하다. 리버스 엔지니어링을 통해 소프트웨어에 대한 새로운 발견과 새로운 기술 혁신의 기회가 마련될 수도 있다.

나는 CASE(Computer-Aided Software Engineering)의 적용 분야로서 새로운 시스템 개발과 소프트웨어 유지 보수에서 리버스 엔지니어링 툴을 통해 우리가 구축하는 시스템을 운용해야 한다고 오랫동안 주장해 왔다. 그렇게 해서 취약점과 문제점을 발견하면 이용자, 고객, 문제를 발견하고 해결하는 데 드는 많은 시간과 노력을 절약할 수 있다. 향상된 코드 이해를 통한 산업 전반의 비용 절감은 엄청나게 클 수 있다.

나는 30년 동안 소프트웨어 리버스 엔지니어링 분야를 연구해 왔다. 메인프레임, 중간 규모의 시스템, PC에서의 리버스 엔지니어링과 프로그램 언어, 바이너리 모듈, 데이터 파일, 작업 제어 흐름의 리버스 엔지니어링을 연구해 왔다. 리버스 엔지니어링 분야에 종사해 오면서 많은 방법론과 기술을 접해왔다. 하지만 그런 경력적인 배경에도 불구하고, 이 책을 통해서 많은 것을 배웠다. 여러분도 분명 그럴 것이라 믿는다.

엘리엇 치코프스키
엔지니어링 매니지먼트 앤 인티그레이션 사(버지니아 주 헌던 시 소재)
리엔지니어링 포럼 의장
IEEE의 소프트웨어 공학기술위원회 사무국장

[ 저자 서문 ]

리버싱의 세계에 들어온 것을 환영한다. 이 책은 내가 다년간 소프트웨어 개발 프로젝트를 수행하며 여러 기업의 코드를 리버싱해온 경험에 근거해 저술했다. 초기 리버스 엔지니어링 작업은 정보를 얻어내기 위한 목적으로 오직 한 가지 방법만을 사용해 수행하는 매우 지루한 작업이었다. 그런데 어느 순간 갑자기 내 생각을 가로막던 장벽이 사라지고 문서화되지 않은 기계 코드를 매우 빨리 분석하고 있는 내 자신을 발견하게 됐다. 즉, 코드의 기능과 목적을 빠르게 알아낼 수 있게 된 것이다. 그때부터 이처럼 코드의 기능과 목적을 빨리 알아내는 것이 매우 강력한 기술이라는 사실을 깨달았다. 프로그램의 문서나 소스코드가 없는 상태에서도 해당 소프트웨어에 대한 질문에 매우 쉽게 답할 수 있게 됐다. 이 책은 누구나 소프트웨어를 제대로 이해할 수 있도록 관련 지식과 기술을 설명해준다.

리버싱을 제대로 하려면 로우레벨 소프트웨어를 충분히 이해해야 하고 어떤 프로그램 바이너리에서든 필요한 정보를 쉽게 끄집어 낼 수 있는 기술을 배워야 한다. 아무도 시스템의 동작 방식을 제대로 설명해 주지 않지만, 그건 아무런 문제가 되지 않는다. 우리 스스로 그것을 파헤치고 알아내면 되기 때문이다. 이 말이 좀 겁나고 비현실적으로 들리는가? 그렇지 않다. 이것이 바로 이 책의 목적이다. 이 책은 다양한 문제를 해결하는 데 적용할 수 있는 리버스 엔지니어링 기술을 설명하고 가르쳐준다.


[ 저자 소개 ]

엘다드 에일람 (Eldad Eilam)
리버스 엔지니어링 분야의 컨설턴트로서 고객에게 운영체제와 소프트웨어 리버스 엔지니어링의 전문 서비스를 제공한다. 수년간 개선되고 진일보된 리버스 엔지니어링 기술을 개발하려고 노력하는 중이다.


[ 옮긴이의 말 ]

소스 코드가 없는 상태에서 프로그램이 수행하는 작업을 알아내기 위한 방법은 여러 가지가 있을 수 있다. 일차적인 방법은 각종 분석 툴을 이용해서 분석하는 것이다. 툴을 이용하면, 프로그램이 어떤 시스템 API를 호출하는지, 프로그램이 접근하는 파일이나 레지스트리는 무엇인지 그리고 어떤 네트워크 프로토콜을 사용해서 통신을 수행하며 네트워크 상에서 주고 받는 데이터는 어떤 것인지 등을 알아낼 수 있다. 이는 매우 간단해서, 빠른 시간 안에 많을 정보를 얻을 수 있는 방법이다.

하지만 여기에는 분명한 한계가 있다. 프로그램이 내부적으로 어떤 알고리즘과 기술을 사용해서 구현됐는지 알아내려면 프로그램 코드, 정확히 말하면 프로그램의 어셈블리 언어 코드를 분석해야만 한다. 물론, 디스어셈블된 어셈블리 언어 코드 분석을 도와주는 좋은 툴이 많이 있지만, 여전히 어셈블리 언어 코드를 분석해 나가는 작업은 지루하고 인내가 필요한 작업이다. 경우에 따라서는 운영 체제와 같은 시스템 내부적인 지식이 필요한 경우도 있다. 여기에 한가지 더, 분석에 대한 센스가 있으면 더 좋을 것이다.

보안적인 측면에서 보면 리버싱은 보안을 강화할 목적과 보안을 침해할 목적 모두에 사용된다. 막는 것보다는 공격하는 것이 언제나 훨씬 쉽고 재미 있다. 공격은 공격 자체만을 생각하면 되지만 방어는 공격 자체에 대한 방어뿐만 아니라 다양한 주변 요소들까지도 고려해서 종합적인 방어책을 마련해야만 한다. 즉 막는 것만이 능사가 아니라 잘 막는 것이 중요하다. 공격자들은 소프트웨어(또는 운영 체제)를 크랙하거나 그것의 취약점을 찾아내기 위해, 디스어셈블된 어셈블리 언어 코드를 분석(어셈블리 언어 자체에도 버그(?)가 있지만)해서 공격 포인트를 찾아낸다.

우리가 어떤 프로그램 언어를 선택해서 프로그램을 작성하든 결국에는 모두 기계어 코드(어셈블리 언어 코드) 형태로 실행된다. 결국에는 모두 어셈블리 언어 코드로 귀결되는 것이다. 요즘 같은 최첨단 시기에 고루하기 짝이 없는 어셈블리 언어에 왜 관심을 가져야 하는지 불평할 수도 있다. 물론 어셈블리 언어나 그것을 분석하는 리버싱 기술을 전혀 몰라도 소프트웨어를 개발하는 데에는 아무런 문제가 되지 않는다. 하지만 로우레벨의 시스템 프로그래밍이나 보안 분야에서는 어셈블리 언어를 반드시 알아야 한다. 시스템 내부를 자세히 알고 싶거나 심지어는 다른 소프트웨어의 특화된 기술이나 기능을 분석하고자 한다면 리버싱은 필수적인 요소다.

이러한 관점에서 이 책은 개발자들이나 보안 전문가들에게 분명히 도움이 될 것이다. 리버싱을 한 번도 해보지 못한 독자라도 기본적인 어셈블리 언어와 프로그래밍 지식만 있다면 누구나 이 책을 통해서 ‘리버싱’을 경험해볼 수 있을 것이다. 또한 이 책은 단순히 리버싱 기술 전달에만 치우치지 않고 법적인 부분 등 리버싱과 관련된 다양한 측면을 두루두루 다룬다.

자기가 작성한 프로그램이 어떻게 어셈블리 언어로 표현되는지 확인해 보는 것만으로도 리버싱 기술 향상에 많은 도움이 된다. 또한 프로그램 소스 코드 변경에 따라서 어셈블리 언어 표현이 어떻게 변경되는지 확인해 보면, 프로그램 언어 구문 자체의 내부적인 의미를 정확히 파악할 수 있다. 한 예로, 객체 지향 언어의 특징이 로우레벨에서 어떻게 표현되는지 알 수 있다. 물론 이 책에서도 이 부분을 자세히 다룬다. 이렇게 로우레벨 언어를 통해서 하이레벨 언어의 내부를 이해하게 되면 좀 더 정확히 하이레벨 언어를 이해한 상태에서 프로그래밍을 할 수 있다.

리버싱은 어떤 것을 분해, 해석해서 얻어낸 정보를 알아볼 수 있는 형태로 표현하는 한다는의미로 보면, 번역이라는 작업도 리버싱이라고 할 수 있다. 따라서 역자를 "Reverser"라고 표현한다 해도 그렇게 무리가 있어 보이지는 않는다. 이 책을 번역하면서 예전에 난해한 16진수 숫자들을 바라 보면서 낑낑대던 기억이 떠올랐다. 리버싱은 어찌 보면 인내와 끈기가 필요한 작업이다. 당시는 모든 것이 새로운 시기였기 때문에 이런 책이 너무나도 절실했다. 부디 이 책을 통해서 리버싱과 어셈블리 언어를 좀 더 체계적으로 학습할 수 있는 기회가 되길 바란다.


[ 옮긴이 소개 ]

윤근용
시스템 프로그래머로서 시스템에 대한 다양한 분야에 관심이 많으며 특히 보안 분야에 대한 관심이 높아 다년간 보안 업무에 종사하고 있다. 바이러스 보안 업체를 거쳐 현재는 NHN에서 보안 관련 프로젝트를 수행 중이다. 에이콘출판사에서 펴낸 『웹 애플리케이션 해킹 대작전』, 『실전해킹 절대내공』, 『루트킷』을 번역했다.

목차

• 1부 리버싱 101 29
  
• 1장 기초 31
  • 리버스 엔지니어링 31
  • 소프트웨어 리버스 엔지니어링: 리버싱 32
  • 리버싱 적용 32
    • 보안 관련 리버싱 33
      • 악성코드 소프트웨어 33
      • 암호 알고리즘 리버싱 34
      • 디지털 저작권 관리 35
      • 프로그램 바이너리 감사 36
    • 소프트웨어 개발에서의 리버싱 36
      • 소프트웨어 간의 상호 운용 36
      • 경쟁 제품 분석 37
      • 소프트웨어의 품질과 안정성 측정 37
  • 로우레벨 소프트웨어 38
    • 어셈블리 언어 39
    • 컴파일러 40
    • 가상 머신과 바이트 코드 41
    • 운영체제 41
  • 리버싱 절차 42
    • 시스템 레벨 리버싱 42
    • 코드 레벨 리버싱 42
  • 사용 툴 43
    • 시스템 모니터링 툴 43
    • 디스어셈블러 44
    • 디버거 44
    • 디컴파일러 45
  • 리버싱은 합법적인 작업인가 45
    • 상호 운용성 46
    • 경쟁 47
    • 저작권법 48
    • 영업 비밀과 특허권 48
    • 디지털 밀레니엄 저작권법 49
    • DMCA 사례 50
    • 사용권 계약 51
  • 예제 코드와 툴 52
  • 정리 52
    
• 2장 로우레벨 소프트웨어 53
  • 하이레벨 관점 53
    • 프로그램 구조 54
      • 모듈 55
      • 공통 구성 요소 56
    • 데이터 처리 57
      • 변수 58
      • 사용자 정의 데이터 구조체 58
      • 리스트 59
    • 제어 흐름 61
    • 하이레벨 언어 61
      • C 62
      • C++ 63
      • 자바 64
      • C# 64
  • 로우레벨 관점 65
    • 로우레벨 데이터 처리 65
      • 레지스터 67
      • 스택 68
      • 힙 71
      • 실행 데이터 섹션 71
    • 제어 흐름 72
  • 어셈블리 언어 입문 73
    • 레지스터 73
    • 플래그 74
    • 명령 포맷 76
    • 기본 명령 77
      • 데이터 이동 78
      • 산술 연산 78
      • 비교 연산 79
      • 조건 분기 79
      • 함수 호출 80
    • 코드 예 80
  • 컴파일러 기초 82
    • 컴파일러란 83
    • 컴파일러 아키텍처 83
      • 프런트엔드 84
      • 중간 표현 84
      • 최적화기 85
      • 백엔드 86
    • 리스팅 파일 87
    • 사용 컴파일러 88
  • 실행 환경 89
    • 소프트웨어 실행 환경(가상 머신) 89
      • 바이트 코드 90
      • 인터프리터 90
      • Just-in-Time 컴파일러 91
      • 리버싱 전략 91
    • 최신 프로세서에서의 하드웨어 실행 환경 92
      • Intel NetBurst 94
      • μops(Micro-Ops) 94
      • 파이프라인 94
      • 분기 예측 96
  • 정리 97
    
• 3장 윈도우 기초 99
  • 컴포넌트와 기본 아키텍처 99
    • 간략한 역사 99
    • 특징 100
    • 지원 하드웨어 101
  • 메모리 관리 101
    • 가상 메모리와 페이징 102
      • 페이징 103
      • 페이지 폴트 104
    • 워킹 셋 104
    • 커널 메모리와 유저 메모리 104
    • 커널 모드 공간 105
    • 섹션 객체 108
    • VAD 트리 108
    • 유저 모드 메모리 할당 109
    • 메모리 관리 API 110
  • 객체와 핸들 111
    • 네임드 객체 113
  • 프로세스와 스레드 114
    • 프로세스 114
    • 스레드 114
    • 컨텍스트 스위칭 115
    • 동기화 객체 117
    • 프로세스 초기화 과정 118
  • 애플리케이션 프로그래밍 인터페이스 119
    • Win32 API 119
    • 네이티브 API 121
    • 시스템 콜 메커니즘 122
  • 실행 포맷 124
    • 기본 개념 125
    • 이미지 섹션 126
    • 섹션 정렬 126
    • 동적 링크 라이브러리 127
    • 헤더 128
    • 임포트와 익스포트 130
    • 디렉터리 132
  • 입력과 출력 133
    • I/O 시스템 134
    • Win32 서브시스템 135
      • 객체 관리자 136
  • 구조화된 예외 처리 136
  • 정리 139
    
• 4장 리버싱 툴 141
  • 다양한 리버싱 방법 141
    • 오프라인 코드 분석(Dead-Listing) 142
    • 라이브 코드 분석 142
  • 디스어셈블러 142
    • IDA Pro 144
  • ILDasm 147
• 디버거 148
  • 유저 모드 디버거 150
    • OllyDbg 150
    • WinDbg를 이용한 유저 모드 디버깅 152
    • IDA Pro 153
    • PEBrowse Professional Interactive 154
  • 커널 모드 디버거 154
    • WinDbg를 이용한 커널 모드 디버깅 155
    • Numega SoftICE 156
    • 가상 머신에서의 커널 디버깅 159
• 디컴파일러 161
• 시스템 모니터링 툴 162
• 패치 툴 164
  • Hex Workshop 164
• 기타 리버싱 툴 166
  • 실행 이미지 덤프 툴 166
    • DUMPBIN 166
    • PEView 170
    • PEBrowse Professional 171
• 정리 171
  

2부 리버싱 응용 173

5장 리버싱 실전 175

• 리버싱과 상호운용성 175
• 기본 원칙 176
• 문서화되지 않은 API를 찾는 방법 177
  • 찾고자 하는 것 178
• 사례 연구: NTDLL.DLL의 Generic Table API 179
  • RtlInitializeGenericTable 181
  • RtlNumberGenericTableElements 187
  • RtlIsGenericTableEmpty 188
  • RtlGetElementGenericTable 189
    • 셋업과 초기화 191
    • 로직과 구조 196
    • 검색 루프 1 198
    • 검색 루프 2 200
    • 검색 루프 3 201
    • 검색 루프 4 202
    • 소스코드 추출 203
  • RtlInsertElementGenericTable 206
    • RtlLocateNodeGenericTable 208
    • RtlRealInsertElementWorker 217
    • Splay 트리 227
  • RtlLookupElementGenericTable 231
  • RtlDeleteElementGenericTable 233
  • 분석한 내용 종합 236
• 정리 238
  

6장 파일 포맷 분석 239

• Cryptex 240
• Cryptex 사용 241
• Cryptex 리버싱 242
• 패스워드 검증 과정 248
  • “Bad Password” 메시지 잡아내기 248
  • 패스워드 변환 알고리즘 252
  • 패스워드 해싱 255
• 디렉터리 구조 261
  • 디렉터리 처리 코드 분석 261
  • 파일 엔트리 분석 267
• 디렉터리 구조 덤프 271
• 파일 추출 과정 272
  • 파일 목록 검색 280
  • 파일 복호화 282
  • 부동소수점 연산 283
  • 복호화 루프 285
  • 해시 값 검증 286
• 정리 286
• 좀 더 자세히 288
• 결론 289
  

7장 프로그램 바이너리 감사 291

• 문제점 정의 291
• 보안 취약점 293
  • 스택 오버플로우 293
    • 간단한 스택 보안 취약점 295
    • 내부 구현 298
    • 스택 검사 299
    • 비실행 가능 메모리 304
  • 힙 오버플로우 304
  • 문자열 필터 305
  • 정수 오버플로우 306
    • 사용자 입력 정수에 대한 산술 연산 308
  • 형 변환 에러 310
• 사례: IIS 인덱싱 서비스 보안 취약점 312
  • CVariableSet::AddExtensionControlBlock 313
  • DecodeURLEscapes 318
• 정리 323
  

8장 악성코드 리버싱 325

• 악성코드의 종류 325
  • 바이러스 326
  • 웜 326
  • 트로이 목마 327
  • 백도어 328
  • 모바일 코드 328
  • 애드웨어/스파이웨어 329
• 스틱키 소프트웨어 329
• 미래의 악성코드 330
  • 정보 탈취 웜 330
  • 바이오스/펌웨어 악성코드 331
• 악성코드의 목적 333
• 악성코드 취약점 334
• 다형성 335
• 변종 337
• 안전한 리버싱 환경 구축 338
• Backdoor.Hacarmy.D 339
  • 실행 파일 언패킹 339
  • 최초 실행 344
  • 설치 345
  • 네트워크 연결 349
  • 서버에 연결 351
  • 채널에 접속 354
  • 백도어와 통신 355
  • SOCKS4 서버 실행 359
  • 자체 제거 360
• Backdoor.Hacarmy.D: 명령 레퍼런스 361
• 정리 362
  

3부 크래킹 363

9장 저작권 침해와 불법 복사 방지 365

• 저작권 365
• 사회적 측면 365
• 소프트웨어 저작권 침해 366
  • 문제 정의 367
  • 보안 결함 368
  • 필요 조건 369
  • 이론적으로 크랙이 불가능한 모델 370
• 보호 유형 370
  • 매체 기반 보호 371
  • 시리얼 번호 371
  • 질의 응답과 온라인 인증 372
  • 하드웨어 기반의 보호 373
  • 서비스로서의 소프트웨어 374
• 진보된 보호 개념 375
  • 크립토 프로세서 375
• 디지털 저작권 관리 377
  • DRM 모델 377
    • 윈도우 미디어 저작권 관리자 378
    • 시큐어 오디오 패스 379
• 워터 마크 379
• 신뢰 컴퓨팅 380
• 복사 방지 기술 공격 382
• 정리 382
  

10장 안티 리버싱 기술 383

• 안티 리버싱이 필요한 이유 383
• 기본적인 안티 리버싱 방법 384
• 심볼 정보 제거 385
• 코드 암호화 386
• 안티 디버거 기술 387
  • 디버거 기본 387
  • IsDebuggerPresent API 388
  • SystemKernelDebuggerInformation 389
  • 싱글 스텝 인터럽트를 이용한 SoftICE 탐지 390
  • 트랩 플래그 391
  • 코드 체크섬 392
• 안티 디스어셈블러 393
  • 선형 스윕 디스어셈블러 394
  • Recursive Traversal 디스어셈블러 395
  • 적용 400
• 코드 난독화 402
• 제어 흐름 변환 403
  • Opaque Predicates 404
  • 안티 디컴파일러 406
  • Table Interpretation 406
  • 인라인닝과 아웃라이닝 412
  • 인터리빙 코드 413
  • 순서 변환 414
• 데이터 변환 415
  • 변수 인코딩 415
  • 배열 재구성 416
• 정리 416
  

11장 보호 기술 파괴 417

• 패치 418
• Keygen 424
• 키 생성 알고리즘 추출 425
• 고급 크래킹: Defender 431
  • Defender의 초기화 루틴 리버싱 439
  • 복호화된 코드 분석 451
  • 사라진 SoftICE 461
  • 스레드 리버싱 461
  • “Killer” 스레드 무력화 465
  • KERNEL32.DLL 로딩 466
  • 함수 재암호화 468
  • 엔트리 포인트로 다시 돌아가서 469
  • 프로그램 파라미터 파싱 471
  • 사용자 이름 처리 473
  • 사용자 정보 검증 474
  • 코드 복호화 475
  • Defender에 대한 무작위 대입 476
• Defender의 보호 기술 482
  • 함수 레벨의 암호화 483
    • 상대적으로 강력한 암호 블록 체인 483
    • 재 암호화 483
  • 애플리케이션/운영체제와의 인터페이스 난독화 484
  • 프로세서 타임 스탬프 검증 스레드 485
  • 실행 시에 복호화 키 생성 486
    • 상호 의존 키 486
    • 사용자 입력 기반의 복호화 키 486
  • 인라이닝 487
• 정리 487
  

4부 디스어셈블리 너머 489

12장 닷넷 리버싱 491

• 기반 지식 492
• 닷넷 기본 493
  • 매니지드 코드 494
  • 닷넷 프로그래밍 언어 496
  • 공통 타입 시스템 497
• 중간 언어 497
  • 평가 스택 498
  • 활성화 레코드 499
  • IL 명령 499
  • IL 코드 샘플 501
    • Counting Items 501
    • 링크드 리스트 샘플 504
• 디컴파일러 512
• 난독기 513
  • 심볼 이름 변경 513
  • 제어 흐름 변경 513
  • 디컴파일과 디스어셈블리 차단 514
• 난독화된 코드 리버싱 515
  • XenoCode 515
  • Preemptive Solutions의 DotFuscator 517
  • Remotesoft 난독기와 링커 522
  • Remotesoft Protector 522
  • 어셈블리 프리컴파일 523
  • 어셈블리 암호화 524
• 정리 525
  

13장 디컴파일 527

• 네이티브 코드 디컴파일 527
• 전형적인 디컴파일러의 구조 529
• 중간 표현 529
  • 표현식과 표현식 트리 531
  • 제어 흐름 그래프 532
• 프론트엔드 532
  • 의미 분석 533
  • 제어 흐름 그래프 생성 534
• 코드 분석 536
  • 데이터 흐름 분석 536
    • 단일 정적 할당 537
    • 데이터 전달 538
    • 레지스터 변수 구별 540
    • 데이터 타입 전달 541
  • 타입 분석 542
    • 기본 데이터 타입 542
    • 복잡한 데이터 타입 543
  • 제어 흐름 분석 545
  • 라이브러리 함수의 구별 546
• 백엔드 547
• 실제 IA-32 디컴파일러 547
• 정리 548
  

부록 A 코드 구조 해석 549

부록 B 컴파일된 연산의 이해 589

부록 C 프로그램 데이터 해석 609

정오표

1, 2쇄 오류/오탈자

[ p158 노트 7행 ]
Softwae ICE → Software ICE

[ p166 '실행 이미지 덤프 툴' 절 3행 ]
실행 이지미 덤프 툴 → 실행 이미지 덤프 툴

[ p64 아래에서 3행 ]
로우레벨 어셈플리 → 로우레벨 어셈블리  3쇄 오류/오탈자 

[ p64 아래에서 3행 ]
로우레벨 어셈플리 → 로우레벨 어셈블리

[ p185 14행 ]
UnkownStruct->Member2 = &UnknownStruct->Member2; → UnknownStruct->Member2 = &UnknownStruct->Member2;

2015.12. 9 수정사항

[p. 371: 그림 오류(뒤바뀜)]
그림11.10 <-> 그림11.11

<참고>
그림 11.10

그림 11.11