CSAPP lab2 二进制拆弹 binary bombs phase_4

给出对应于7个阶段的7篇博客

phase_1  https://www.cnblogs.com/wkfvawl/p/10632044.html
phase_2  https://www.cnblogs.com/wkfvawl/p/10636214.html
phase_3  https://www.cnblogs.com/wkfvawl/p/10651205.html
phase_4  https://www.cnblogs.com/wkfvawl/p/10672680.html
phase_5  https://www.cnblogs.com/wkfvawl/p/10703941.html
phase_6  https://www.cnblogs.com/wkfvawl/p/10742405.html
secret_phase  https://www.cnblogs.com/wkfvawl/p/10745307.html

phase_4

phase_4要求输入2个整数，phase_4函数从中获取信息，并判断其正确性，如果不正确，则炸弹爆炸。

phase_4主要考察学生对递归的机器级表示的掌握程度。

观察框架源文件bomb.c：

从上可以看出：

1、首先调用了read_line()函数，用于输入炸弹秘钥，输入放置在char* input中。

2、调用phase_4函数，输入参数即为input，可以初步判断，phase_3函数将输入的input字符串作为参数。

因此下一步的主要任务是从asm.txt中查找在哪个地方调用了readline函数以及phase_4函数。

1.1 寻找并分析调用phase_4函数的代码

打开asm.txt，寻找phase_4函数。

和phase_1类似分析：

1、当前栈的位置存放的是read_line函数读入的一串输入；

2、phase_4的函数入口地址为0x8048d8e。

此时的函数栈为：

1.2 phase_4函数分析

寻找8048d8e，或者继续寻找phase_4，可以寻找到phase_4函数，如下图所示：

1、510-518行：准备phase_4函数栈帧，并为调用sscanf函数准备参数。经过这些语句后，函数栈帧如下图所示。

注意：0x804a689位置的内容为“%d %d”，可以判断是输入两个整数。其分析过程参见前面阶段分析，这里不再赘述。

2、519行：调用sscanf函数，读取两个整数，得到的两个数据d1和d2，放置在如上图中的栈中，函数返回结果在eax寄存器中。（根据前面的分析，应该知道返回结果代表读取的数据的数量）

3、520-521行：如果读取的数量不等于2，则跳转到8048dc1<phase_4 + 0x33>，引爆炸弹；

4、522-524行：d1与14（0xe）比较，大于，则引爆炸弹。显然，这里的判断是要求d1 <= 14。小于则跳转到8048dc6<phanse_4 + 0x38>，继续执行。

6、525行（8048e5d）- 530行，是在为调用8048d31<func4>这个函数做准备。531行执行后，函数栈帧变为：

可以看出，为func4函数准备了3个参数，调用顺序为（d1,0，14）。

7、531行：调用func4(d1, 0, 14)，返回结果在eax中。

8、532行：将func4的返回结果与0xf（10进制15）相比较，如果不等，则跳转到8048e85<phase_4+0x60>，引爆炸弹。也即func4的返回结果应该为15，否则引爆。

9、534-535行：将d2与15（0xf）相比较，如果不等，则引爆炸弹。如果相等，则过关。

10、从上面分析来看，输入的两个数中，d1 <= 14，而d2=15。d1目前看来暂时不能确定，如果要确定d1的值，需分析func4函数（其逻辑空间地址为8048d31）。

1.3 func4函数分析

在asm.txt中寻找func4，在8048d31处，为func4函数定义：

1、根据前面分析，func4的定义应为：int func4（int x, int y, int z），后面的分析均以此为基础进行分析。

2、473-474行：准备函数栈帧。执行后，函数栈帧如下图所示：

3、476-478行：x --> edx，y --> eax，z --> esi。

4、479-481行：ecx = ebx = z - y；

5、482行：ebx逻辑右移0x1f位（shr：逻辑右移指令），即逻辑右移31位，即将z-y的最高位（符号位）移到了最低位。逻辑右移的结果送到ebx，此时ebx 为z - y的符号位。即如果z >= y，则ebx = 0，否则ebx = 1；（前面给的参数z = 14， y = 0， ebx = 0）

6、483-484行：ecx = ebx + ecx = z - y + sign（z-y） ；然后ecx算术右移一位，即ecx = （z-y + sign(z-y)）/2 = 7。（sar：算术右移指令，只有一个参数，意味着只右移1位，这里sign(z-y)代表取z-y的符号，当z>=y时，sign(z-y) = 0 否则sign(z-y) = 1）

7、485行：lea是一个地址传送指令，但这里借用该指令，执行的是将ecx + eax -->ebx，也即ebx = y + [(z-y) + sign(z-y)]/2。（这里应该是求z和y的中间的值，分为负数和正数的处理方法不一样，为方便后面描述，这里设置mid = y + [(z-y) + sign(z-y)]/2）

8、486-487行：将ebx与edx相比较，也即mid与x相比较，如果mid <= x（jle为小于等于），则跳转到8048d6d<func4 + 0x3c>。

9、495-497行：8048d6d<func4 + 0x3c>：实际上是判断mid是否大于等于x，如果是，则跳出函数，func4返回。（根据上面，是小于等于跳转过来的，这里大于等于，应该是mid==x的时候，返回，返回处理在8048d88（第504行处），此时eax = mid，即返回的是mid的值。）如果不是，则继续执行498行，也即此时mid < x。

10、498-502行：将esi的内容（z），送入到esp+8的位置，ebx + 1 -->esp + 4(ebx为mid), x-->esp，然后调用func4，显然这里是递归调用func4，此时调用func4（x, mid + 1, z）。如果该函数返回，将ebx（mid）与eax（func4的返回结果）相加（第504行），进行返回。

11、根据前面8~10分析：如果mid 等于x，则返回mid，如果mid < x，则调用func4（x， mid+1, z）。

12、第488-492行：上面第8步，如果第487步没有跳转，则继续执行488行，此时mid > x。此时的过程：

1）将ebx -1 -->ecx，即ecx=mid-1，ecx->esp+8（esp+8为mid-1），eax->esp+4（eax为y），edx->esp（edx为x）。

2）调用func4：func4（x， y， mid-1）。

3）显然，以上代码含义是当mid > x时，调用func4(x, y, mid-1)。

4）如果func4返回，将ebx（mid）与eax（func4的返回结果）相加（第493行），进行返回。

1.4 func4结果分析

根据以上分析，func4显然是一个递归调用函数，其大致c语言代码为：

int func4(int x, int y, int z)
{
    int mid = ;
    if(z >= y)
    {
        mid = y + (z - y)/;
    }
    else
    {
        mid = y + (z-y + )/;
    }
    if(x == mid)
    {
        return mid;
    }
    else(if x < mid)
    {
        return mid + func4(x, y, mid -);
    }
    else(if x > mid)
    {
        return mid + func(x, mid + , z);
    }
}

显然，上面代码为一个二叉排序/搜索树，phase_4调用时的参数是func4(d1, 0, 14)，最后的返回结果是15。当参数为0,14时，二进制搜索树为：

根据前面分析，当给定d1时，func4返回结果是搜索路径上的所有值之和。例如：

假设d1 = 7， func4返回7。如果d1=1，func4返回7+3+1 = 11。

当要求func4返回15时，d1应该等于5，即7 + 3 + 5 = 15。

因此，phase_4的答案应该是："5 15"