CSAPP lab2 二进制拆弹 binary bombs phase_4
给出对应于7个阶段的7篇博客
phase_1 https://www.cnblogs.com/wkfvawl/p/10632044.html
phase_2 https://www.cnblogs.com/wkfvawl/p/10636214.html
phase_3 https://www.cnblogs.com/wkfvawl/p/10651205.html
phase_4 https://www.cnblogs.com/wkfvawl/p/10672680.html
phase_5 https://www.cnblogs.com/wkfvawl/p/10703941.html
phase_6 https://www.cnblogs.com/wkfvawl/p/10742405.html
secret_phase https://www.cnblogs.com/wkfvawl/p/10745307.html
phase_4
phase_4要求输入2个整数,phase_4函数从中获取信息,并判断其正确性,如果不正确,则炸弹爆炸。
phase_4主要考察学生对递归的机器级表示的掌握程度。
观察框架源文件bomb.c:
从上可以看出:
1、首先调用了read_line()函数,用于输入炸弹秘钥,输入放置在char* input中。
2、调用phase_4函数,输入参数即为input,可以初步判断,phase_3函数将输入的input字符串作为参数。
因此下一步的主要任务是从asm.txt中查找在哪个地方调用了readline函数以及phase_4函数。
1.1 寻找并分析调用phase_4函数的代码
打开asm.txt,寻找phase_4函数。
和phase_1类似分析:
1、当前栈的位置存放的是read_line函数读入的一串输入;
2、phase_4的函数入口地址为0x8048d8e。
此时的函数栈为:
1.2 phase_4函数分析
寻找8048d8e,或者继续寻找phase_4,可以寻找到phase_4函数,如下图所示:
1、510-518行:准备phase_4函数栈帧,并为调用sscanf函数准备参数。经过这些语句后,函数栈帧如下图所示。
注意:0x804a689位置的内容为“%d %d”,可以判断是输入两个整数。其分析过程参见前面阶段分析,这里不再赘述。
2、519行:调用sscanf函数,读取两个整数,得到的两个数据d1和d2,放置在如上图中的栈中,函数返回结果在eax寄存器中。(根据前面的分析,应该知道返回结果代表读取的数据的数量)
3、520-521行:如果读取的数量不等于2,则跳转到8048dc1<phase_4 + 0x33>,引爆炸弹;
4、522-524行:d1与14(0xe)比较,大于,则引爆炸弹。显然,这里的判断是要求d1 <= 14。小于则跳转到8048dc6<phanse_4 + 0x38>,继续执行。
6、525行(8048e5d)- 530行,是在为调用8048d31<func4>这个函数做准备。531行执行后,函数栈帧变为:
可以看出,为func4函数准备了3个参数,调用顺序为(d1,0,14)。
7、531行:调用func4(d1, 0, 14),返回结果在eax中。
8、532行:将func4的返回结果与0xf(10进制15)相比较,如果不等,则跳转到8048e85<phase_4+0x60>,引爆炸弹。也即func4的返回结果应该为15,否则引爆。
9、534-535行:将d2与15(0xf)相比较,如果不等,则引爆炸弹。如果相等,则过关。
10、从上面分析来看,输入的两个数中,d1 <= 14,而d2=15。d1目前看来暂时不能确定,如果要确定d1的值,需分析func4函数(其逻辑空间地址为8048d31)。
1.3 func4函数分析
在asm.txt中寻找func4,在8048d31处,为func4函数定义:
1、根据前面分析,func4的定义应为:int func4(int x, int y, int z),后面的分析均以此为基础进行分析。
2、473-474行:准备函数栈帧。执行后,函数栈帧如下图所示:
3、476-478行:x --> edx,y --> eax,z --> esi。
4、479-481行:ecx = ebx = z - y;
5、482行:ebx逻辑右移0x1f位(shr:逻辑右移指令),即逻辑右移31位,即将z-y的最高位(符号位)移到了最低位。逻辑右移的结果送到ebx,此时ebx 为z - y的符号位。即如果z >= y,则ebx = 0,否则ebx = 1;(前面给的参数z = 14, y = 0, ebx = 0)
6、483-484行:ecx = ebx + ecx = z - y + sign(z-y) ;然后ecx算术右移一位,即ecx = (z-y + sign(z-y))/2 = 7。(sar:算术右移指令,只有一个参数,意味着只右移1位,这里sign(z-y)代表取z-y的符号,当z>=y时,sign(z-y) = 0 否则sign(z-y) = 1)
7、485行:lea是一个地址传送指令,但这里借用该指令,执行的是将ecx + eax -->ebx,也即ebx = y + [(z-y) + sign(z-y)]/2。(这里应该是求z和y的中间的值,分为负数和正数的处理方法不一样,为方便后面描述,这里设置mid = y + [(z-y) + sign(z-y)]/2)
8、486-487行:将ebx与edx相比较,也即mid与x相比较,如果mid <= x(jle为小于等于),则跳转到8048d6d<func4 + 0x3c>。
9、495-497行:8048d6d<func4 + 0x3c>:实际上是判断mid是否大于等于x,如果是,则跳出函数,func4返回。(根据上面,是小于等于跳转过来的,这里大于等于,应该是mid==x的时候,返回,返回处理在8048d88(第504行处),此时eax = mid,即返回的是mid的值。)如果不是,则继续执行498行,也即此时mid < x。
10、498-502行:将esi的内容(z),送入到esp+8的位置,ebx + 1 -->esp + 4(ebx为mid), x-->esp,然后调用func4,显然这里是递归调用func4,此时调用func4(x, mid + 1, z)。如果该函数返回,将ebx(mid)与eax(func4的返回结果)相加(第504行),进行返回。
11、根据前面8~10分析:如果mid 等于x,则返回mid,如果mid < x,则调用func4(x, mid+1, z)。
12、第488-492行:上面第8步,如果第487步没有跳转,则继续执行488行,此时mid > x。此时的过程:
1)将ebx -1 -->ecx,即ecx=mid-1,ecx->esp+8(esp+8为mid-1),eax->esp+4(eax为y),edx->esp(edx为x)。
2)调用func4:func4(x, y, mid-1)。
3)显然,以上代码含义是当mid > x时,调用func4(x, y, mid-1)。
4)如果func4返回,将ebx(mid)与eax(func4的返回结果)相加(第493行),进行返回。
1.4 func4结果分析
根据以上分析,func4显然是一个递归调用函数,其大致c语言代码为:
int func4(int x, int y, int z) { int mid = 0; if(z >= y) { mid = y + (z - y)/2; } else { mid = y + (z-y + 1)/2; } if(x == mid) { return mid; } else(if x < mid) { return mid + func4(x, y, mid -1); } else(if x > mid) { return mid + func(x, mid + 1, z); } }
显然,上面代码为一个二叉排序/搜索树,phase_4调用时的参数是func4(d1, 0, 14),最后的返回结果是15。当参数为0,14时,二进制搜索树为:
根据前面分析,当给定d1时,func4返回结果是搜索路径上的所有值之和。例如:
假设d1 = 7, func4返回7。如果d1=1,func4返回7+3+1 = 11。
当要求func4返回15时,d1应该等于5,即7 + 3 + 5 = 15。
因此,phase_4的答案应该是:"5 15"
