레지스터란?

CPU 레지스터

 

우선 CPU가 무슨 일을 하는지 알아보자.

간단하게 CPU(Central Processing Unit)는 메모리로부터 명령어를 가져와서(fetch) 어떤 명령어인지 해석하고(decode) 실행하는(execute) 동작을 한다. CPU에 대해서는 리버싱 작업에서 많이 사용되는 레지스터에 대해서만 알아보도록 하겠다.

레지스터는 CPU 내부에 존재하는 작은 고속의 메모리라고 할 수 있다. 레지스터의 종류로는 범용 레지스터, 세그먼트 레지스터, 상태 플래그 레지스터, 명령 포인트 레지스터 등이 있다. 올리디버거에 나타나는 레지스터 정보를 살펴보자.

 

범용 레지스터

□ EAX(Extended Accumulator Register)

곱셈과 나눗셈 명령에서 자동으로 사용되고 함수의 리턴 값이 저장되는 용도로도 사용된다.

 

□ EBX(Extended Base Register)

ESI나 EDI와 결합하여 인덱스에 사용된다.

 

□ ECX(Extended Counter Register)

반복 명령어 사용시 반복 카운터로 사용된다. ECX 레지스터에 반복할 횟수를 지정해 놓고 반복 작업을 수행하게 된다.

 

□ EDX(Extended Data Register)

EAX와 같이 쓰이며 부호 확장 명령 등에 쓰인다.

 

□ ESI(Extended Source Index)

데이터 복사나 조작 시 Source Data의 주소가 저장된다. ESI 레지스터가 가리키는 주소의 데이터를 EDI 레지스터가 가리키는 주소로 복사하는 용도로 많이 사용된다.

 

□ EDI(Extended Destination Index)

복사 작업 시 Destination의 주소가 저장된다. 주로 ESI 레지스터가 가리키는 주소의 데이터가 복사된다.

 

□ ESP(Extended Stack Pointer)

하나의 스택 프레임의 끝 지점 주소가 저장된다. PUSH, POP 명령어에 따라서 ESP의 값이 4Byte씩 변한다,

 

□ EBP(Extended Base Pointer)

하나의 스택 프레임의 시작 지점 주소가 저장된다. 현재 사용되는 스택 프레임이 소멸되지 않는 동안 EBP의 값은 변하지 않는다, 현재 스택 프레임이 소멸되면 이전에 사용되던 스택 프레임을 가리키게 된다.

 

명령 포인터

□ EIP(Extended Instruction Pointer)

다음에 실행해야 할 명령어가 존재하는 메모리 주소가 저장된다. 현재 명령어를 실행 완료한 후에 EIP 레지스터에 저장되어 있는 주소에 위치한 명령어를 실행하게 된다. 실행 전 EIP 레지스터에는 다음 실행해야 할 명령어가 존재하는 주소의 값이 저장된다.

 

세그먼트 레지스터

□ CS(Code Segment)

실행 가능한 명령어가 존재하는 세그먼트의 오프셋이 저장된다.

 

□ DS(Data Segment)

프로그램에서 사용되는 데이터가 존재하는 세그먼트의 오프셋이 저장된다.

 

□ SS(Stack Segment)

스택이 존재하는 세그먼트의 오프셋이 저장된다.

 

플래그 레지스터

□ CF(Carry Flag)

부호 없는 연산 결과가 용랑보다 클 때 세트(1)된다.

 

□ ZF(Zero Flag)

연산 결과가 0일 때 세트(1)된다. 연산 결과가 0이 아닐 때 해제(0)된다.

 

□ OF(Overflow Flag)

부호 있는 연산 결과가 용량보다 클 때 세트(1)된다.

 

□ SF(Sign Flag)

연산 결과가 음수가 되었을 때 세트(1)된다. 연산 결과가 양수가 되었을 때 해제(0)된다.

 

□ DF(Direction Flag)

문자열 처리에서 연속되는 문자열의 처리 방향에 따라 세트(1)된다.

 

부동 소수점 레지스터

□ ST(0), ST(1), ST(2), ST(3), ST(4), ST(5), ST(6), ST(7)

범용 레지스터는 레지스터 이름 첫 글자가 ‘E’인 것을 알 수 있다. ‘확장되었다(Extended)’ 라는 의미로 32bit 컴퓨터 환경이 되면서 16bit 레지스터인 AX, BX, CX, DX 등의 레지스터를 32bit로 확장한 것이라고 보면 된다. EAX, EBX, ECX, EDX 레지스터는 32bit, 16bit, 8bit로 사용할 수 있다. EAX 레지스터를 예로 들면 32bit는 EAX, 16bit는 AX, 8bit는 AH, AL로 사용할 수 있다.

32비트 16비트 상위 8비트 하위 8비트

EAX AX AH AL

EBX BX BH BL

ECX CX CH CL

EDX DX DH DL

c 

상위 8비트는 High라서 ‘H’가 붙고, 하위 8비트는 Low라서 ‘L’이 붙는다고 생각하면 외우기 쉽다.

ESI, EDI, EBP, ESP 레지스터는 32bit, 16bit로 사용이 가능하다.

32비트 16비트

ESI SI

EDI DI

EBP BP

ESP SP

 

[출처] 레지스터란?|작성자 Zealous