Software Engineer English & Software Engineering Blog - Sean

AOB Injection 템플릿으로 치트 엔진 오토 어셈블러의 기본을 알아보자.

{}와 //의 내용은 주석이므로 설명하지 않는다.

전체 내용은 위와 같이 [ENABLE]과 [DISABLE]을 기준으로 Main, Enable, Disable 섹션으로 나눌 수 있다. Main 섹션은 항상 실행된다. Enable 섹션은 스크립트를 실행하면(Cheat Table Address List에서 Active 체크 박스를 클릭해서 선택하면) 실행된다. Disable 섹션은 스크립트를 정지하면(Active 체크 박스 선택 해제하면) 실행된다.

템플릿에 사용된 명령어들을 하나씩 살펴보자.

aobscanmodule(INJECT,Tutorial-i386.exe,29 83 B0 04 00 00)

aobScanModule(SymbolName, ModuleName, AOBString)
- Scans the memory used by the module ModuleName for a specific byte pattern defined by AOBString and sets the resulting address to the symbol SymbolName.

지정된 모듈(Tutorial-i386.exe)에서 특정 바이트 패턴(29 83 B0 04 00 00)이 있는 메모리 영역을 찾는다. 만약 찾으면 그 주소를 심볼(INJECT)로 세팅한다. 3개의 캐릭터를 와일드카드로 사용할 수 있다.  'x', '?', '*'

예)
5x 48 8D 6x 24 E0
5? 48 8D 6? 24 E0
5* 48 8D 6* 24 E0
xx 48 8D xx 24 E0
?? 48 8D ?? 24 E0
** 48 8D ** 24 E0
x 48 8D x 24 E0
? 48 8D ? 24 E0
* 48 8D * 24 E0

alloc(newmem,$1000)

alloc(SymbolName, Size, AllocateNearThisAddress OPTIONAL)
- Allocates a memory block of Size bytes and defines the SymbolName in the script, pointing to the beginning of the allocated memory block.

지정한 사이즈(1000)의 메모리 블럭을 할당하고 시작 주소를 심볼(newmem)로 정의한다. ($1000은 16진수 1000을 의미한다)

dealloc(newmem)

dealloc(SymbolName)
- Deallocates a block of memory allocated with alloc.

alloc()으로 할당된 메모리 블럭(newmem)을 해제한다.

registersymbol(INJECT)

registerSymbol(SymbolName)
- Adds a symbol to the user-defined symbol list so cheat tables and the memory browser can use that name instead of an address.

심볼(INJECT)을 사용자 정의 심볼 리스트에 추가한다. 추가된 심볼은 치트 테이블과 메모리 브라우저에서 주소 대신 사용할 수 있다.

unregistersymbol(INJECT)

unregisterSymbol(SymbolName)
- Removes a symbol from the user-defined symbol list.

사용자 정의 심볼 리스트에서 심볼(INJECT)을 제거한다.

label(code)

label(LabelName)
- Enables the word 'LabelName' to be used as a symbol.

지정된 단어(code)가 심볼로 사용될 수 있게한다.

※ 참고 1

aobScan(SymbolName, AOBString)
- Scans all the memory for a specific byte pattern defined by AOBString and sets the resulting address to the symbol SymbolName.

메모리에서 특정 바이트 패턴(AOBString)을 찾고 그 주소를 심볼(SymbolName)로 지정한다. 3개의 캐릭터를 와일드카드로 사용할 수 있다.  'x', '?', '*'

예)
5x 48 8D 6x 24 E0
5? 48 8D 6? 24 E0
5* 48 8D 6* 24 E0
xx 48 8D xx 24 E0
?? 48 8D ?? 24 E0
** 48 8D ** 24 E0
x 48 8D x 24 E0
? 48 8D ? 24 E0
* 48 8D * 24 E0

assert(Address, ArrayOfBytes)
- Will check the memory address for the given bytes. If the address's memory is not what is defined by the array of bytes given, the auto assemble script will not execute.

지정된 Address에 ArrayOfBytes가 있는지 확인한다. 만약 없다면 auto assemle script는 작동하지 않는다.

ex) assert(Game.exe+123ABC, 01 02 03 0A 0B 0C)

globalAlloc(Symbol, Size, AllocateNearThisAddress OPTIONAL)
- Allocates a certain amount of memory and registers the specified name. Using GlobalAlloc in other scripts will then not allocate the memory again, but reuse the already existing memory. (Or allocate it anyhow if found it wasn't allocated yet) If 'AllocateNearThisAddress' is specified CE will try to allocate the memory near that address. This is useful for 64-bit targets where the jump distance could be bigger than 2GB otherwise.
지정한 사이즈의 메모리를 할당하고  할당된 메모리 주소를 이름(Symbol)으로 등록한다. 등록된 메모리 이름은 다른 스크립트나 메모리 뷰어에서 사용할 수 있다.

예)

globalAlloc(SomeSymbol, 0x4)
globalAlloc(SomeSymbol, 0x4, SomeAOBSymbol)
globalAlloc(SomeSymbol, 0x1000, Tutorial-x86_64.exe)

define(Name, Value)
- Creates a token with the specified name that will be replaced with the text of its value.
Note: Uses basic replacement before script is ran, whitespace is not stripped.

스크립트가 실행되기 전 교체될 텍스트 토큰을 생성한다.

ex 1)

아래 코드가..
define(address, 00 12 3A BC)
...
address:
  db 90 90 90

이렇게 바뀐다.
00 12 3A BC:
  db 90 90 90

ex 2)

아래 코드가..
define(fullValue,(float)100.0)
...
mov eax,fullValue

이렇게 바뀐다.
mov eax,(float)100.0

※ 참고 2

Auto Assembler Basics

도스박스에서 실행한 고전 게임을 치트해 보자. 코드 인젝션으로 번개와 폭탄을 무한대로 사용할 수 있게 한다.

치트 엔진으로 삽입한(inject) 코드를 enable/disable 하기 위해 Cheat Table Framework code 사용할 수 있다. 하지만 자세히 보지 않으면 원치 않는 결과를 얻게 되므로 조심해야 한다.

위 Memory Viewer가 원래 코드고 아래 Memory Viewer가 복구된 코드다.

원래 코드나 복구된 코드나 ebx 레지스터에 저장된 메모리 주소에서 4A4 바이트 떨어진 곳에 저장된 값에서 1을 빼는 내용으로 동일하지만 자세히 보면 Opcode가 다른것을 확인할 수 있다. 원래 코드의 Opcode는 83이고 복구된 코드의 Opcode는 81이다. 두 번째 operand도 값은 1로 동일하지만 크기가 1바이트(01)와 4바이트(00000001)로 큰 차이가 발생했다. 이렇게 코드가 바뀌었지만 내용은 같기때문에 별 문제가 없을것 같지만 명령어 크기가 바뀌는 바람에 그 다음 명령어 영역까지 침범한 것은 큰 문제이다. (그래서 프로그램이 오류로 종료되어 버리는 것이다)

원래 코드의 83은 imm8(8비트 값)을 오퍼랜드로 사용하지만 복구된 코드의 81은 imm32(32비트 값)을 오퍼랜드로 사용한다. 복구할 스크립트의 sub 명령어를 기계어로 번역할때 Opcode를 81로 사용하기 때문에 sub dword ptr [ebx+000004A4], 01 이라는 어셈블리 명령어의 두 번째 오퍼랜드 01을 0x01로 1바이트 값이 아닌 0x00000001로 4바이트 값으로 번역하는 것이다. 치트엔진은 튜토리얼이 32비트 프로그램이므로 당연히 4바이트 값을 사용했을것이라 생각하는것 같다. 어쨌든 원래 코드로 복구시키지 못하므로 버그라고 봐야 할거같다.

위 그림처럼 sub dword ptr [ebx+000004a4], 01 코드를 주석처리하고 그 아래 db 83 AB A4 04 00 00 01을 주석 해제한다. 어셈블리어로 작성한 코드를 기계어로 번역하지 않고 원래 있던 기계어를 다시 그대로 바이트 단위로 정의(db: define byte)하는 것이다.

r/m8, imm8 오퍼랜드를 사용하는 80 옵코드로 복구되지만 기계어로 번역된 결과의 길이가 같아 다른 명령어를 침범하지 않고 실행에도 문제가 없다.

Cheat Engine(CE)으로 포인터의 포인터를 찾아 보자.

CE을 실행하고 Help - Cheat Engine Tutorial 을 실행 한다.

Cheat Engine에서 Tutorial을 열어 준다.

Edit - Settings를 클릭하고 Cheat Engine settings 창이 열리면 Pointer adding: Append pointerline instead of insert를 체크 한다.

Tutorial에서 찾아야 하는 값인 3045를 First Scan 으로 찾아서 Address List에 추가 한다.

Address List에 추가된 주소는 첫 번째 포인터가 가리키는 주소와 그 주소에 저장된 값이다. 4 단계에 걸친 포인터를 모두 찾아 주어야 한다. 추가된 목록에서 우클릭 - Find out what accesses this address(F5)를 클릭 한다.

열려 있는 프로세스에 Cheat Engine의 debugger를 attach 한다는 메세지 박스가 나온다.

Yes 를 클릭하면 아래와 같은 창이 뜬다.

Tutorial 로 돌아와 Change value 버튼을 클릭 한다.

Find out what accesses this address 로 지정한 주소에 접근하는 opcode가 표시 된다.

More information 버튼을 클릭하면 추가 정보가 표시 된다. 내용을 확인해 보면 eax에 저장된 값을 rsi+18에 복사하고 있다.

rsi의 주소는 01587460이고 여기에 offset 값 18을 더하면 01587478로 위에서 CE으로 찾은 주소의 값과 일치 한다.

CE에서 Hex 체크 박스를 클릭하고 rsi 주소값을 입력한 다음 New Scan을 클릭하고 First Scan 한다. 아래와 같이 rsi 주소 값을 가지는 메모리의 주소(첫 번째 포인터)를 찾았다. 이 상태에서 Add Address Manually 버튼을 클릭 한다.

Add address 창이 뜨면 Pointer 체크 박스를 클릭 하고 위에서 찾은 메모리 주소를 입력한다. offset 값으로 18을 입력 하면 최종 값인 3559가 표시 된다.

OK를 클릭하면 CE에 아래와 같이 표시 된다.

이제 이 포인터의 포인터를 찾아 보자. 추가한 포인터에서 F5를 눌러 Find out what accesses this address를 실행하면 아래와 같은 메세지가 나온다.

Find out what accesses this pointer를 클릭한다.

Tutorial로 돌아가 Change value 버튼을 클릭하면 아래와 같이 포인터에 접근하는 opcode 목록을 표시해 준다. 첫 번째 opcode의 operand 인 rsi 값을 확인해 보면 07312500으로 위에서 찾은 포인터의 주소와 일치 한다.

rsi 값을 가지는 주소(포인터)를 찾아 보자. 015661E8에 같은 값이 저장되어 있는걸 확인 할 수 있다.

리스트에 추가된 포인터를 더블 클릭하고 Add Offset 버튼을 클릭하면 아래와 같은 화면으로 바뀐다.

하단 주소 입력 에디트 박스에 포인터 주소값을 입력해 주면 아래와 같이 표시된다. OK 버튼을 클릭한다.

별 다른 변화는 없어 보이지만 포인터의 포인터까지 찾아 놓은 상태이다.

다시 그 포인터의 포인터를 찾는 과정을 반복하면 아래와 같이 더 이상 포인터로 지시되지 않는 녹색 주소값이 나온다. (CE 에서는 static address가 녹색으로 표시 된다)

이 마지막 포인터를 추가해 준다.

마지막 포인터까지 추가되었으면 Active 체크 박스를 클릭해서 값을 고정 시키고 Value를 5000으로 수정 한다.

Tutorial로 돌아가 Change pointer버튼을 클릭하면 3초 후 Next 버튼이 활성화 된다. a pointer to a pointer to a pointer to a pointer to the health 값을 찾은 것이다.

x64dbg에서 패치한 파일은 아래와 같이 ollydbg와는 다른 방식으로 저장한다.

필요한 부분을 패치 한다. 아래 예에서는 4바이트를 패치 했다.

File - Patch file... 을 클릭 한다.

패치된 4바이트가 표시 된다. Patch File 버튼을 클릭 한다.

원하는 이름을 입력하고 저장 버튼을 클릭 한다.

패치가 적용되었다는 메세지 박스가 나타난다.

지정된 폴더에 패치된 파일이 생성되어 있다.

x64dbg를 설치하고 실행해 보면 아래와 같이 밝은 배경으로 표시 된다.

아래 링크에서 원하는 Color Scheme을 다운 받고 압축을 풀어 주자. (

)

x64dbg Color Schemes

Options - Import settings... 를 선택 한다.

다운 받은 Color Scheme 파일을 선택해 준다.

선택한 Color Scheme이 바로 적용 된다.

파일을 열어 보면 아래와 같이 표시 된다.

※ 참고: 포인터 스캐너 사용법

Cheat Engine으로 간단하게 Pointer를 찾을 수 있다.

Cheat Engine에서 Tutorial 프로세스를 열어 준다. Value를 변경해 가며 정확한 Address를 찾는다.

찾은 Address에서 오른쪽 클릭 하고 'Find out what accesses this address'를 클릭한다.

Cheat Engine에 debugger를 붙여 준다.

아래와 같은 창이 뜬다.

Tutorial로 돌아가 Change value 버튼을 클릭해 값을 변경 하면 018F3D30 주소에 접근한 opcode들이 표시 된다. 그 중 두 번째 opcode가 018F3D30 위치의 값을 바꾼다는 것을 알 수 있다. (아래 창에서 << 표시된 opcode) More information을 클릭하면 약간의 추가 정보가 표시 된다.

Cheat Engine에서 value가 저장된 Address인 018F3D30을 다시 Hex scan 한다.

018F3D30이 저장된 Address가 Pointer의 Address 이다. Add Address Manually 버튼을 클릭한다.

Pointer를 체크한다.

Pointer의 Address를 입력한다. offset 값은 없으므로 0으로 둔다.

Value가 저장된 위치를 가리키는 Pointer가 추가 된다.

Value를 5000으로 수정하고 Active를 체크한다. (Value가 5000으로 고정 된다)

Tutorial에서 Change value 버튼을 클릭하면 Value가 바뀌지만 메모리 상에서는 다시 5000으로 돌아간다. Change pointer 버튼을 클릭하면 Pointer가 가리키는 주소(Value 값이 저장된 주소)가 바뀌고 Cheat Engine 에서 찾아 놓은 Pointer 가 가리키는 주소값도 똑같이 바뀐다. Next 버튼이 활성화 되고 Pointer를 찾았음을 확인 할 수 있다.

이번에는 아래와 같은 코드로 프로그램을 만들어서 정확히 확인해 보자. 

프로그램을 실행 시키면 포인터에 저장된 주소(p)와 그 주소에 저장된 값(*p)이 표시 된다.

아래와 같이 1을 선택하면 값을 1 증가 시키고 2를 선택하면 포인터에 저장된 주소를 다시 할당 한다.

프로그램을 다시 실행하고 Cheat Engine으로 Value를 변경해 가며 주소를 찾는다.

프로그램에서 주소값을 표시해 주므로 Cheat Engine에서 찾은 주소가 맞는지 쉽게 확인 된다.

마찬가지로 Find out what accesses this address 로 어떤 코드가 이 주소에 접근하는지 확인해 보자.

More informatioin의 내용도 확인해 보자.

Value의 주소값을 Hex Scan으로 검색한다. 아래와 같이 두 개의 주소가 확인 되었다.

프로그램에서 2번을 선택해 Pointer가 가리키는 주소를 변경해 보자.

00F3F764에 저장된 값이 프로그램과 동일하게 변경되는걸 확인 할 수 있다. 00F3F764가 포인터의 주소이다.

Add Address Manually로 Pointer를 추가해 준다.

프로그램에서 Value와 Pointer value를 변경하면 Cheat Engine에 찾아 놓은 포인터에도 똑같이 적용되는걸 확인 할 수 있다.

프로세서가 kernel mode에서 user mode로 변경되는 시점을 간단히 찾을 수 있다. (User mode and kernel mode)

예를 들어 Message box가 종료되는 지점을 찾아 보자. ollydbg에서 분석할 프로그램을 열어 준다.

(password: lena)

F9를 눌러 실행 한다.

아래와 같은 Message box가 나타난다.

F12를 눌러 정시 시킨다.

아래와 같은 곳으로 이동 된다.

Alt + F9를 눌러 back to user mode를 실행 한다.

오른쪽 아래에 Till user가 표시 된다.

'Register Me' 메세지 박스에서 '확인'을 클릭하면 아래와 같이 MessageBoxA CALL 이 종료되는 시점에서 정지 된다.

이번엔 scanf 가 종료되는 지점을 찾아 보자. 아래와 같은 소스로 실행 파일을 만들어 준다. (

)

ollydbg(v.2.01)로 열어 준다.

F9를 눌러 실행 한다.

아래와 같이 숫자를 입력하는 콘솔창이 뜬다.

다시 ollydbg로 돌아와 F12를 눌러 정지 시킨다. 하지만 여기서는 Paused 상태가 되지 않고 Pausing 상태가 된다.

콘솔창에서 숫자를 입력 한다.

숫자를 입력하면 아래와 같은 주소로 이동하고 정지 상태가 된다.

F8, Alt + F9, Ctrl + F9 를 적당히 눌러가며 진행 하면 scanf가 종료되는 것으로 보이는 위치가 나타난다.

같은 파일을 x32dbg로 열어 보자.

F9를 눌러 진행 한다.

한번 더 F9를 눌러 진행하면 아래와 같이 Running 상태가 된다.

숫자를 입력하라는 콘솔창이 뜬다.

x32dbg로 돌아가 Threads 창을 열어 준다.

Title Bar에는 Main Thread가 선택되어 있는 것 처럼 표시 되지만 Main Thread가 아닌 2번 thread가 활성화 되어 있다. 이 상태에서는 break point가 제대로 작동하지 않는다. Main Thread를 활성화 해 준다.

아래와 같은 주소로 이동 된다. F12를 눌러 Pause 한 후(F12를 한 번 누르면 화면에는 아무것 도 표시되지 않는다. 두 번 누르면 Error setting breakpoint at XXXXXXXX! (SetBPX) 가 표시 되지만 무시하자) 콘솔창에서 숫자를 입력한다.

숫자를 입력하고 나면 아래와 같이 Paused 상태가 된다.

F8, Alt + F9, Ctrl + F9 를 적당히 눌러가며 진행 하면 scanf가 종료되는 것으로 보이는 위치가 나타난다.

스크롤을 조금 올려 보면 프로그램의 전체적인 내용을 파악 할 수 있다. pdb파일이 같이 있기 때문에 소스 라인까지 표시 된다.