본 글은 SecurityPlus와 키콤백신 오픈소스 프로젝트 참여자 분들과 진행한 내용을 정리한 내용입니다.

키콤백신 가이드.pdf

2016.08.06 ~ 2016.08.13

reversing study 1~8st.pdf

ASEMBLY INFO

EAX : Extended Accumulator Register

함수 리턴 값 저장. Win32 API 함수들은 모두 return value 를 EAX에 저장한 후

return 합니다.

EBX : Extended Base Register

DS segment 에서 Data를 가리킬 때 사용합니다.

ECX : Extended Counter Register

반복문 명령어(LOOP)에서 참조 카운트로 사용됩니다.

(루프 돌 때마다 ECX를 1씩 감소 시킵니다.)

EDX : Extended Data Register

ESI : Extended Source Register / EDI : Extended Destination Register

특정 명령어(LODS, STOS, REP MOVS, etc)와 함께 주로 메모리 복사에 사용됩니다.

EBP : Extended Base Pointer

함수가 호출 되었을 때 그 순간의 ESP를 저장하고 있다가, 함수가 return 하기 직전에

      다시 ESP에 값을 되돌려줘서 stack이 깨지지 않도록 합니다.

ESP : Extended Stack Pointer

Stack memory address를 가리킵니다. 어떤 명령어들(PUSH, POP, CALL, RET)은 ESP를

직접 조작하기도 합니다.

(stack memory 관리는 프로그램에서 매우 중요하기 때문에 ESP를 다른 용도로

사용하지 않는 것이 좋습니다.

EIP : Extended Instruction Pointer

출처 : reverscore.com