超精讲-逐例分析 CSAPP:实验2-Bomb!(下)
好了话不多说我们书接上文继续来做第二个实验下面是前半部分实验的连接
5. 第五关
首先感觉应该是个递归问题
/* Round and 'round in memory we go, where we stop, the bomb blows! */
input = read_line();
phase_5(input);
phase_defused();
printf("Good work! On to the next...\n");
1. 初读phase_5
0000000000401062 <phase_5>:
401062: 53 push %rbx
401063: 48 83 ec 20 sub $0x20,%rsp
401067: 48 89 fb mov %rdi,%rbx
40106a: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax
401071: 00 00
401073: 48 89 44 24 18 mov %rax,0x18(%rsp)
401078: 31 c0 xor %eax,%eax
40107a: e8 9c 02 00 00 callq 40131b <string_length>
40107f: 83 f8 06 cmp $0x6,%eax
401082: 74 4e je 4010d2 <phase_5+0x70>
401084: e8 b1 03 00 00 callq 40143a <explode_bomb>
刚开始就开了个金丝雀这个题应该不太对劲。。rsp+0x18
这个位置存储了我们金丝雀的值这是为了防止缓冲区溢出随后调用string_length
函数来判断输入的字符串长度。可以发现这里规定来我们输入的字符串长度必须是6否则直接爆炸。满足要求后跳转到<phase_5+0x70>
2. 阅读<phase_5+0x70>
4010d2: b8 00 00 00 00 mov $0x0,%eax
4010d7: eb b2 jmp 40108b <phase_5+0x29>
把rax=0然后跳转到40108b %rbx=%rdi
part1 ---------------------------------------------------------
40108b: 0f b6 0c 03 movzbl (%rbx,%rax,1),%ecx //
40108f: 88 0c 24 mov %cl,(%rsp)
401092: 48 8b 14 24 mov (%rsp),%rdx
401096: 83 e2 0f and $0xf,%edx
401099: 0f b6 92 b0 24 40 00 movzbl 0x4024b0(%rdx),%edx
4010a0: 88 54 04 10 mov %dl,0x10(%rsp,%rax,1)
4010a4: 48 83 c0 01 add $0x1,%rax
4010a8: 48 83 f8 06 cmp $0x6,%rax
4010ac: 75 dd jne 40108b <phase_5+0x29>
4010ae: c6 44 24 16 00 movb $0x0,0x16(%rsp)
part2 ---------------------------------------------------------
4010b3: be 5e 24 40 00 mov $0x40245e,%esi
4010b8: 48 8d 7c 24 10 lea 0x10(%rsp),%rdi
4010bd: e8 76 02 00 00 callq 401338 <strings_not_equal>
4010c2: 85 c0 test %eax,%eax
4010c4: 74 13 je 4010d9 <phase_5+0x77>
4010c6: e8 6f 03 00 00 callq 40143a <explode_bomb>
4010cb: 0f 1f 44 00 00 nopl 0x0(%rax,%rax,1)
4010d0: eb 07 jmp 4010d9 <phase_5+0x77>
4010d2: b8 00 00 00 00 mov $0x0,%eax
4010d7: eb b2 jmp 40108b <phase_5+0x29>
part3 ---------------------------------------------------------
4010d9: 48 8b 44 24 18 mov 0x18(%rsp),%rax
4010de: 64 48 33 04 25 28 00 xor %fs:0x28,%rax
4010e5: 00 00
4010e7: 74 05 je 4010ee <phase_5+0x8c>
4010e9: e8 42 fa ff ff callq 400b30 <__stack_chk_fail@plt>
4010ee: 48 83 c4 20 add $0x20,%rsp
4010f2: 5b pop %rbx
4010f3: c3 retq
首先我们可以发现part2部分是我们把rsp+0x10位置处的值和0x40245e位置处的值进行比较如果不想等则直接爆炸。因此rsp+0x10
位置存储的值必须和0x40245e
位置处的值一样。check一下
(gdb) x/s 0x40245e
0x40245e: "flyers"
可以发现rsp+0x10位置处也必须为"flyers"然后我们比较一下金丝雀如果没有缓冲区溢出的话则返回。
接下来我们看part1里面到底发生了什么这里写一个伪代码会更好理解
func (char *c ,int rax, int 1){ //初始rax=0
long a=c[rax*1] //这里会把a的高32位置0
char tmp=byte(a)[0:8]//这里把a的2进制表示的低八位给tmp
//注意(rsp)=tmp tmp就是我们输入的第一个字符
long rdx=tmp;
edx=edx&0xf //也就是我们只保存后4位
edx=m[0x4024b0+rdx] //这里的rdx里保存的就是我们输入的第一个字符
(rsp+10+rax)=edx //低8位
func(c,rax+1,1); //然后循环调用
}
我们设我们输入的六个字符分别为a1,a2,a3,a4,a5,a6 这里可以发现我们的栈帧处其实存储的是m[0x4024b0+rdx]
的值首先我们看一下0x4024b0
中到底存储了哪些东西
(gdb) print (char*)0x4024b0
$5 = 0x4024b0 <array> "maduiersnfotvbylSo you think you can stop the bomb with ctrl-c, do you?"
emm这是一个字符串数组。嗷这里其实我们传入的就是索引值然后利用索引值来拿到我们需要的“flyers”
f-9 l-15 y-14 e-5 r-6 s-7
注意这里我们输入的是字符串因此要把他们的ASCLL 值当作索引
因为我们只取了输入的每一个字符的后4位ASCLl码当作索引值。也就是说所有后四位满足上面要求的字符都可。这里我们随便取一组。我们可以对上面的值。都加上64,这样不会改变后4位的位模式。并且还能得到简单的结果
73=I 79=O 78=N 69=E 70=F 77=G
结果是IONEFG 可以成功过掉
IONEFG
Good work! On to the next..
6. 第六关
好了终于来到了最后一关是不是很有成就感。看上去非常难的样子
/* This phase will never be used, since no one will get past the
* earlier ones. But just in case, make this one extra hard. */
input = read_line();
phase_6(input);
phase_defused();
这个的汇编有亿点点长。下面先放一个总体逻辑的伪代码来帮助大家理解
cin>>a[6];//输入六个数
if(a[i]=a[i+1]||a[i]>6)bomb! i=1~6所有元素都不能相同都不能大于6
//这里我们有一个单链表
node1->node2->node3->node4->node5->node6
/由于最后我们的链表要满足单调递减
/ 按照值进行排序如下。所以我们重新排序的链表顺序必须如下
node3>node4>node5>node6>node1>node2
List *L=new(List(-1));/新建一个链表
for(int i=1;i<=6;i++){
if(a[i]==6)L[i]=node1; /L[i]表示我们新链表的第i个结点。
else{
int b=7-a[i],p=node1;
while(b--){
p=p->next;
}
L[i]=p; /这里就是7-a[i]为多少就把node[7-a[i]]赋给L[i]
}
}
下面在开始慢慢读汇编语言
1. 阅读phase_6
00000000004010f4 <phase_6>:
4010f4: 41 56 push %r14
4010f6: 41 55 push %r13
4010f8: 41 54 push %r12
4010fa: 55 push %rbp
4010fb: 53 push %rbx
//以上均为对调用者保存寄存器的保存过程
4010fc: 48 83 ec 50 sub $0x50,%rsp
401100: 49 89 e5 mov %rsp,%r13
401103: 48 89 e6 mov %rsp,%rsi
401106: e8 51 03 00 00 callq 40145c <read_six_numbers>
//这里的rsi就是我们的栈帧指针然后调用 read_six_numbers
这里的分析和第二关有点像简略分析过程。得到我们六个参数的分布
第一个参数 m[%rsp] 设为a1
第二个参数 m[%4+rsp] 设为a2
第三个参数 m[%8+rsp] 设为a3
第四个参数 m[%c+rsp] 设为a4
第五个参数 m[%10+rsp] 设为a5
第六个参数 m[%14+rsp] 设为a6
这个汇编特别长所以我们的大部分分析。都放在了代码的注释上
40110b: 49 89 e6 mov %rsp,%r14 //%r14=%rsp
40110e: 41 bc 00 00 00 00 mov $0x0,%r12d //%r12d=0x0
401114: 4c 89 ed mov %r13,%rbp //%rbp=%rsp
401117: 41 8b 45 00 mov 0x0(%r13),%eax //eax= a1
40111b: 83 e8 01 sub $0x1,%eax //eax=a1-1
40111e: 83 f8 05 cmp $0x5,%eax // a1-1-5=a1-6
401121: 76 05 jbe 401128 <phase_6+0x34> //a1-6<=0
/*
这里我们发现如果输入的参数>6则会直接爆炸
*/
--------------------------------------------------------------------
401123: e8 12 03 00 00 callq 40143a <explode_bomb>
401128: 41 83 c4 01 add $0x1,%r12d //%r12d+=1 =1
40112c: 41 83 fc 06 cmp $0x6,%r12d // r12d -6
401130: 74 21 je 401153 <phase_6+0x5f> // r12d=6 则跳转
401132: 44 89 e3 mov %r12d,%ebx // ebx=%r12d =1
401135: 48 63 c3 movslq %ebx,%rax // rax=ebx=1
401138: 8b 04 84 mov (%rsp,%rax,4),%eax //eax=m[rsp+4*rax] =m[rsp+4]=a2
40113b: 39 45 00 cmp %eax,0x0(%rbp) // a1-a2
40113e: 75 05 jne 401145 <phase_6+0x51> // 如果a1 和a2 相同则直接爆炸
401140: e8 f5 02 00 00 callq 40143a <explode_bomb>
401145: 83 c3 01 add $0x1,%ebx //ebx+=1 =2
401148: 83 fb 05 cmp $0x5,%ebx // ebx-5
40114b: 7e e8 jle 401135 <phase_6+0x41> //ebx-5<=0 ebx<=5
40114d: 49 83 c5 04 add $0x4,%r13 //%r13+=4 %r13=%rsp+4
401151: eb c1 jmp 401114 <phase_6+0x20>
// 这里有递归关系注意
对上面的代码写一个简单的c语言伪代码如下
int r12d=0
func (int a[6],int i=0 ){ //里面保存了我们的6个参数
if(a[i]>6) bomb!
r12d+=1;
if (r12d=6){call 0x401153}
int tmp=r12d;
while(tmp<=5) {
int c=tmp;
int res=a[c];
if(res==a[i]) bomb!;
else{
tmp+=1;
}
}
func(a[6],i++);
}
上面就是说我们的参数都不能一样。并且每一个都不能大于6然后一直要到r12d=6才能继续
然后继续往下执行
401153: 48 8d 74 24 18 lea 0x18(%rsp),%rsi //%rsi=%rsp+0x18
401158: 4c 89 f0 mov %r14,%rax //%rax=%r14=%rsp
40115b: b9 07 00 00 00 mov $0x7,%ecx // %ecx=7
401160: 89 ca mov %ecx,%edx //%edx=7
401162: 2b 10 sub (%rax),%edx // %edx=7-a1
401164: 89 10 mov %edx,(%rax) /a1=7-a1
401166: 48 83 c0 04 add $0x4,%rax // %rax=%rsp+4
40116a: 48 39 f0 cmp %rsi,%rax // 这里其实是一个判断 因为我们的栈帧就到%rsp+14
40116d: 75 f1 jne 401160 <phase_6+0x6c>
上面又形成一个递归这里在写一个c语言的伪代码
int rsi=6;
func(int i=0){
a[i]=7-a[i];
if(i!=6)func(i++);
}
上面相当于让ai=7-ai(i=1,2,3,4,5,6)
下面的逻辑非常复杂。。。这里要很认真的看下面说的ai都是我们一开始输入的ai。
40116f: be 00 00 00 00 mov $0x0,%esi
401174: eb 21 jmp 401197 <phase_6+0xa3>
//将%esi置0之后跳转到401197
{
401197: 8b 0c 34 mov (%rsp,%rsi,1),%ecx //ecx=m[rsp+rsi]= a1
40119a: 83 f9 01 cmp $0x1,%ecx // 这里如果7-a1<=1 a1>=6 a1=6 则直接401183
40119d: 7e e4 jle 401183 <phase_6+0x8f>
}
// ai <6 则会走下面
40119f: b8 01 00 00 00 mov $0x1,%eax
4011a4: ba d0 32 60 00 mov $0x6032d0,%edx
4011a9: eb cb jmp 401176 <phase_6+0x82>
401176: 48 8b 52 08 mov 0x8(%rdx),%rdx //rdx= m[6032d8]
40117a: 83 c0 01 add $0x1,%eax //eax=2
40117d: 39 c8 cmp %ecx,%eax
40117f: 75 f5 jne 401176 <phase_6+0x82>
401181: eb 05 jmp 401188 <phase_6+0x94>
这里我们需要一个简单的c语言代码来看一下到底发生了什么
首先我们这里读取了m[6032d8]的值我们需要看一下这里面有什么
(gdb) x 0x6032d8
0x6032d8 <node1+8>: 0x006032e0
这里的node1就很有灵性。我们在这多看几个值
0x6032d0 <node1>: 0x0000014c 0x00000001 0x006032e0 0x00000000
0x6032e0 <node2>: 0x000000a8 0x00000002 0x006032f0 0x00000000
0x6032f0 <node3>: 0x0000039c 0x00000003 0x00603300 0x00000000
0x603300 <node4>: 0x000002b3 0x00000004 0x00603310 0x00000000
0x603310 <node5>: 0x000001dd 0x00000005 0x00603320 0x00000000
0x603320 <node6>: 0x000001bb 0x00000006 0x00000000 0x00000000
这里我们可以发现这其实是一个单链表。上面的操作就是从开始一直往后移动。移动的步数等于7-a[i]
while(7-a[i]--){
P=P-next ;//p就表示我们链表的起点0x6032d0;
}
//得到这个p就是我们的第i个节点
//如果ai=6 则直接到这里。否则经过上面的处理之后还会到这里
401183: ba d0 32 60 00 mov $0x6032d0,%edx //%edx=0x6032d0
401188: 48 89 54 74 20 mov %rdx,0x20(%rsp,%rsi,2) //m[%rsp+20]=rdx
40118d: 48 83 c6 04 add $0x4,%rsi //%rsi=4
401191: 48 83 fe 18 cmp $0x18,%rsi //%rsi -0x18
401195: 74 14 je 4011ab <phase_6+0xb7>
401197: 8b 0c 34 mov (%rsp,%rsi,1),%ecx //ecx=m[rsp+4]= 7-a2
40119a: 83 f9 01 cmp $0x1,%ecx // 这里如果7-a2<=1 a2>=6 a2=6 则直接401183
40119d: 7e e4 jle 401183 <phase_6+0x8f>
40119f: b8 01 00 00 00 mov $0x1,%eax
4011a4: ba d0 32 60 00 mov $0x6032d0,%edx
4011a9: eb cb jmp 401176 <phase_6+0x82>
这里其实又是一个大的循环。看到这里慢慢好像看懂了。这里设a[1]-a[j]!=6 pi就是我们经过上面操作得到的第p个结点。则经过上面的汇编代码就会出现下面的结果。如果a[i]=6的话则r[rsp+x]=0x6032d0
也就是物理意义上的node1
r[rsp+20]=p1;
r[rsp+28]=p2;
............
r[rsp+20+2*rsi]=pj
r[rsp+20+2*(rsi+1)]=0x6032d0 //a[j+1]=6
....剩下的节点不可能会是6因此会把我们其他的结点放到这里。由于每一个数字都不相同所以从r[rsp+20]~r[rsp+50]就是我们重新排列之后的6个节点。
下面的pi均为重新排列之后的pi
4011ab: 48 8b 5c 24 20 mov 0x20(%rsp),%rbx // rbx=p1;
4011b0: 48 8d 44 24 28 lea 0x28(%rsp),%rax //rax= rsp+0x28
4011b5: 48 8d 74 24 50 lea 0x50(%rsp),%rsi //rsi=rsp+0x50
4011ba: 48 89 d9 mov %rbx,%rcx //rcx=p1
4011bd: 48 8b 10 mov (%rax),%rdx //rdx=p2
4011c0: 48 89 51 08 mov %rdx,0x8(%rcx)//
4011c4: 48 83 c0 08 add $0x8,%rax //rax=rsp+0x30
4011c8: 48 39 f0 cmp %rsi,%rax // 这里表示我们的6个结点是否遍历完
4011cb: 74 05 je 4011d2 <phase_6+0xde>
4011cd: 48 89 d1 mov %rdx,%rcx
4011d0: eb eb jmp 4011bd <phase_6+0xc9>
```
上面的功能就是把我们重新排列之后的链表串联起来。
```c++
4011d2: 48 c7 42 08 00 00 00 movq $0x0,0x8(%rdx)
4011da: bd 05 00 00 00 mov $0x5,%ebp //控制循环
4011df: 48 8b 43 08 mov 0x8(%rbx),%rax //rax=p2
4011e3: 8b 00 mov (%rax),%eax
4011e5: 39 03 cmp %eax,(%rbx) //p2->val<=p1->val
4011e7: 7d 05 jge 4011ee <phase_6+0xfa>
4011e9: e8 4c 02 00 00 callq 40143a <explode_bomb>
4011ee: 48 8b 5b 08 mov 0x8(%rbx),%rbx
4011f2: 83 ed 01 sub $0x1,%ebp
4011f5: 75 e8 jne 4011df <phase_6+0xeb>
上面的式子告诉我们我们重新排列完之后的节点必须按照递减的顺序否则就会直接爆炸。那我们先按照之前的结点把结点大小排序一下。
0x6032d0 <node1>: 0x0000014c 0x00000001 0x006032e0 0x00000000
0x6032e0 <node2>: 0x000000a8 0x00000002 0x006032f0 0x00000000
0x6032f0 <node3>: 0x0000039c 0x00000003 0x00603300 0x00000000
0x603300 <node4>: 0x000002b3 0x00000004 0x00603310 0x00000000
0x603310 <node5>: 0x000001dd 0x00000005 0x00603320 0x00000000
0x603320 <node6>: 0x000001bb 0x00000006 0x00000000 0x00000000
node3>node4>node5>node6>node1>node2
通过上面的分析我们可以很容易的总结出答案。用一个简单的伪代码来模拟一下上面的所有过程
cin>>a[6];//输入六个数
if(a[i]=a[i+1]||a[i]>6)bomb!//i=1~6所有元素都不能相同都不能大于6
//这里我们有一个单链表
node1->node2->node3->node4->node5->node6
// 由于最后我们的链表要满足单调递减
// 按照值进行排序如下。所以我们重新排序的链表顺序必须如下
node3>node4>node5>node6>node1>node2
List *L=new(List(-1));//新建一个链表
for(int i=1;i<=6;i++){
if(a[i]==6)L[i]=node1; //L[i]表示我们新链表的第i个结点。
else{
int b=7-a[i],p=node1;
while(b--){
p=p->next;
}
L[i]=p; //这里就是7-a[i]为多少就把node[7-a[i]]赋给L[i]
}
}
结论可以很容易得到
由于L[5]=node1 所以我们输入的第五个数为6
其他输入通过公式L[i]=node[7-a[i]]
L[1]=node3=node[7-a[1]] a[1]=4;
L[2]=node4=node[7-a[2]] a[2]=3;
L[3]=node5=node[7-a[3]] a[3]=2;
L[4]=node6=node[7-a[4]] a[4]=1;
L[6]=node2=node[7-a[6]] a[1]=5;
所有最后的输入为4 3 2 1 6 5
这里显示我们通过了所有的实验。是不是超爽的。但是先别急这个实验还有彩蛋下面让我们去找一下彩蛋。
Bonus
首先是非常皮的一段话
/* Wow, they got it! But isn't something... missing? Perhaps
* something they overlooked? Mua ha ha ha ha! */
其实之前读汇编的代码的时候就有发现secret_phase的存在感觉彩蛋应该就在这里了吧
我们发现在phase_defused里面调用了我们的隐藏关卡。首先我们解决如何进入彩蛋关的问题。
1. 分析phase_defused
00000000004015c4 <phase_defused>:
4015c4: sub $0x78,%rsp
4015c8: mov %fs:0x28,%rax
4015cf:
4015d1: mov %rax,0x68(%rsp)
4015d6: xor %eax,%eax
4015d8: cmpl $0x6,0x202181(%rip) // 603760 <num_input_strings>
4015df: jne 40163f <phase_defused+0x7b>
4015e1: lea 0x10(%rsp),%r8
4015e6: lea 0xc(%rsp),%rcx
4015eb: lea 0x8(%rsp),%rdx
4015f0: mov $0x402619,%esi // 有奇怪的地址,check一下,发现是 "%d %d %s"
4015f5: mov $0x603870,%edi // 这里是 ""
4015fa: callq 400bf0 <__isoc99_sscanf@plt> //调用sscanf
4015ff: cmp $0x3,%eax
上面check sscanf的返回值表示输入的参数个数,如果是3个,就到401604行
401602: jne 401635 <phase_defused+0x71>
401604: mov $0x402622,%esi //这里又有奇怪的地址 check一下 "DrEvil"
401609: lea 0x10(%rsp),%rdi //%rdi=0x10(%rsp)
40160e: callq 401338 <strings_not_equal>
401613: test %eax,%eax
401615: jne 401635 <phase_defused+0x71>
401617: mov $0x4024f8,%edi //check 0x4024f8 Curses, "you've found the secret phase!"
40161c: callq 400b10 <puts@plt>
401621: mov $0x402520,%edi
// check 0x402520 "But finding it and solving it are quite different..."
401626: callq 400b10 <puts@plt>
40162b: mov $0x0,%eax
401630: callq 401242 <secret_phase> # 调用彩蛋关
401635: mov $0x402558,%edi // "Congratulations! You've defused the bomb!"
40163a: callq 400b10 <puts@plt>
40163f: mov 0x68(%rsp),%rax
401644: xor %fs:0x28,%rax
通过上面的代码可以发现我们在输入三个参数%d %d %s
的时候最后输入DrEvil即可开启隐藏关。对于第三关和第四关的结果同样适用。这里我们需要找出在哪一关的时候输入才能开启隐藏关。
之前我们发现0x603870作为sscanf函数的第一个参数它不应该为空的下面给phase_defused加一个断点来分析。可以发现最后的时候里面的值竟然第四关的密码。可以肯定我们是在第四关的时候输入DrEvil进入隐藏关。
(gdb) b *0x4015fa
Breakpoint 4 at 0x4015fa
(gdb) info break
Num Type Disp Enb Address What
4 breakpoint keep y 0x00000000004015fa <phase_defused+54>
(gdb) r
Border relations with Canada have never been better.
Phase 1 defused. How about the next one?
1 2 4 8 16 32
That's number 2. Keep going!
0 207
Halfway there!
7 0
So you got that one. Try this one.
IONEFG
Good work! On to the next...
4 3 2 1 6 5
Breakpoint 4, 0x00000000004015fa in phase_defused ()
(gdb) p (char*) 0x603870
$13 = 0x603870 <input_strings+240> "7 0"
接下来的关键就是secret_phase和fun7
2.阅读secret_phase
0000000000401242 <secret_phase>:
401242: 53 push %rbx
401243: e8 56 02 00 00 callq 40149e <read_line>
401248: ba 0a 00 00 00 mov $0xa,%edx
40124d: be 00 00 00 00 mov $0x0,%esi
401252: 48 89 c7 mov %rax,%rdi
401255: e8 76 f9 ff ff callq 400bd0 <strtol@plt> //string to long
40125a: 48 89 c3 mov %rax,%rbx
40125d: 8d 40 ff lea -0x1(%rax),%eax
401260: 3d e8 03 00 00 cmp $0x3e8,%eax
401265: 76 05 jbe 40126c <secret_phase+0x2a>
401267: e8 ce 01 00 00 callq 40143a <explode_bomb>
40126c: 89 de mov %ebx,%esi
40126e: bf f0 30 60 00 mov $0x6030f0,%edi
401273: e8 8c ff ff ff callq 401204 <fun7>
这里把我们输入的值和0x6030f0传递给fun7
401278: 83 f8 02 cmp $0x2,%eax
40127b: 74 05 je 401282 <secret_phase+0x40>
40127d: e8 b8 01 00 00 callq 40143a <explode_bomb>
401282: bf 38 24 40 00 mov $0x402438,%edi //check "Wow! You've defused the secret stage!"
401287: e8 84 f8 ff ff callq 400b10 <puts@plt>
40128c: e8 33 03 00 00 callq 4015c4 <phase_defused>
401291: 5b pop %rbx
401292: c3 retq
通过上面我们发现如果fun7能够返回2的话我们就完成了彩蛋关那么关键就在于fuc7
3. fun7分析
0000000000401204 <fun7>:
401204: 48 83 ec 08 sub $0x8,%rsp
401208: 48 85 ff test %rdi,%rdi
40120b: 74 2b je 401238 <fun7+0x34>
40120d: 8b 17 mov (%rdi),%edx
40120f: 39 f2 cmp %esi,%edx
401211: 7e 0d jle 401220 <fun7+0x1c>
上面我们取了m[rdi]=m[0x6030f0]
的值然后和esi也就是我们输入的值进行比较。不如先看看0x6030f0里放了些什么 这里我们把本题要用到的全部取出来。感觉上应该是一个树结构。因为每一个结点都有两个指针域和一个值域。
(gdb) x/120 0x6030f0
0x6030f0 <n1>: 0x00000024 0x00000000 0x00603110 0x00000000
0x603100 <n1+16>: 0x00603130 0x00000000 0x00000000 0x00000000
0x603110 <n21>: 0x00000008 0x00000000 0x00603190 0x00000000
0x603120 <n21+16>: 0x00603150 0x00000000 0x00000000 0x00000000
0x603130 <n22>: 0x00000032 0x00000000 0x00603170 0x00000000
0x603140 <n22+16>: 0x006031b0 0x00000000 0x00000000 0x00000000
0x603150 <n32>: 0x00000016 0x00000000 0x00603270 0x00000000
0x603160 <n32+16>: 0x00603230 0x00000000 0x00000000 0x00000000
0x603170 <n33>: 0x0000002d 0x00000000 0x006031d0 0x00000000
0x603180 <n33+16>: 0x00603290 0x00000000 0x00000000 0x00000000
0x603190 <n31>: 0x00000006 0x00000000 0x006031f0 0x00000000
0x6031a0 <n31+16>: 0x00603250 0x00000000 0x00000000 0x00000000
0x6031b0 <n34>: 0x0000006b 0x00000000 0x00603210 0x00000000
0x6031c0 <n34+16>: 0x006032b0 0x00000000 0x00000000 0x00000000
0x6031d0 <n45>: 0x00000028 0x00000000 0x00000000 0x00000000
0x6031e0 <n45+16>: 0x00000000 0x00000000 0x00000000 0x00000000
0x6031f0 <n41>: 0x00000001 0x00000000 0x00000000 0x00000000
0x603200 <n41+16>: 0x00000000 0x00000000 0x00000000 0x00000000
0x603210 <n47>: 0x00000063 0x00000000 0x00000000 0x00000000
0x603220 <n47+16>: 0x00000000 0x00000000 0x00000000 0x00000000
0x603230 <n44>: 0x00000023 0x00000000 0x00000000 0x00000000
0x603240 <n44+16>: 0x00000000 0x00000000 0x00000000 0x00000000
0x603250 <n42>: 0x00000007 0x00000000 0x00000000 0x00000000
0x603260 <n42+16>: 0x00000000 0x00000000 0x00000000 0x00000000
0x603270 <n43>: 0x00000014 0x00000000 0x00000000 0x00000000
0x603280 <n43+16>: 0x00000000 0x00000000 0x00000000 0x00000000
0x603290 <n46>: 0x0000002f 0x00000000 0x00000000 0x00000000
0x6032a0 <n46+16>: 0x00000000 0x00000000 0x00000000 0x00000000
0x6032b0 <n48>: 0x000003e9 0x00000000 0x00000000 0x00000000
0x6032c0 <n48+16>: 0x00000000 0x00000000 0x00000000 0x00000000
根据上图可以画出这棵树
可以发现这是一颗二分查找树。这下就简单多了。
if root->val <=input jmp 0x401220 else 0x401213
401213: 48 8b 7f 08 mov 0x8(%rdi),%rdi
401217: e8 e8 ff ff ff callq 401204 <fun7> //每次都向左走找到符合的值
40121c: 01 c0 add %eax,%eax
40121e: eb 1d jmp 40123d <fun7+0x39>
401220: b8 00 00 00 00 mov $0x0,%eax //%rax=0
401225: 39 f2 cmp %esi,%edx //r->val - input
401227: 74 14 je 40123d <fun7+0x39> //=0 return
401229: 48 8b 7f 10 mov 0x10(%rdi),%rdi // 如果r->val小 去右边
40122d: e8 d2 ff ff ff callq 401204 <fun7>
401232: 8d 44 00 01 lea 0x1(%rax,%rax,1),%eax
401236: eb 05 jmp 40123d <fun7+0x39>
401238: b8 ff ff ff ff mov $0xffffffff,%eax //为空来这里
40123d: 48 83 c4 08 add $0x8,%rsp
401241: c3 retq
用伪代码来解释上面的过程
int res=0;
func(Bitree *r ,long input){
if(!r)return 0xffffffff
if(r->val<=input){
res=0;
if(r->val <input){
func(r->right,input);
res=res*2+1;
}
else return res;
}else{
func(r->left,input);
res*=2;
}
return res;
}
可以发现当输入为22的时候可以正好得到res=2
Curses, you've found the secret phase!
But finding it and solving it are quite different...
22
Wow! You've defused the secret stage!
Congratulations! You've defused the bomb!
[Inferior 1 (process 120) exited normally]
Summary
都写完的时候还是很有成就感的,而且的确很有趣。不知道什么时候国内能设计出这么有意思的实验cmu赛高。
彩蛋关的时候其实如何找到彩蛋有点参考了别人的教程。当时确实没想到是这样找的。以及第六关这个链表结构也是得到了一点提示。这样可能降低难度了把。
写的有点匆忙可能会有一些问题。欢迎大家积极指出。我先准备考试啦后面的实验考完试在更新
超精讲-逐例分析 CSAPP:实验2-Bomb!(下)的更多相关文章
- 超精讲-逐例分析CS:LAB2-Bomb!(上)
0. 环境要求 关于环境已经在lab1里配置过了这里要记得安装gdb 安装命令 sudo yum install gdb 实验的下载地址 http://csapp.cs.cmu.edu/3e/labs ...
- GRE/GMAT/LSAT长难句300例精讲精练-思维导图
<GRE/GMAT/LSAT长难句300例精讲精练>是GRE超人气名师陈琦老师团队的又一本新作,也是“再要你命3000”的新成员,从之前的词汇.短语.练习,提升到长难句层面,相信学完本书后 ...
- Linux实战教学笔记12:linux三剑客之sed命令精讲
第十二节 linux三剑客之sed命令精讲 标签(空格分隔): Linux实战教学笔记-陈思齐 ---更多资料点我查看 1,前言 我们都知道,在Linux中一切皆文件,比如配置文件,日志文件,启动文件 ...
- Keepalived原理与实战精讲--VRRP协议
. 前言 VRRP(Virtual Router Redundancy Protocol)协议是用于实现路由器冗余的协议,最新协议在RFC3768中定义,原来的定义RFC2338被废除,新协议相对还简 ...
- 深入Java核心 Java内存分配原理精讲
深入Java核心 Java内存分配原理精讲 栈.堆.常量池虽同属Java内存分配时操作的区域,但其适用范围和功用却大不相同.本文将深入Java核心,详细讲解Java内存分配方面的知识. Java内存分 ...
- 《VC++ 6简明教程》即VC++ 6.0入门精讲 学习进度及笔记
VC++6.0入门→精讲 2013.06.09,目前,每一章的“自测题”和“小结”三个板块还没有看(备注:第一章的“实验”已经看完). 2013.06.16 第三章的“实验”.“自测题”.“小结”和“ ...
- iOS开发——语法篇OC篇&高级语法精讲二
Objective高级语法精讲二 Objective-C是基于C语言加入了面向对象特性和消息转发机制的动态语言,这意味着它不仅需要一个编译器,还需要Runtime系统来动态创建类和对象,进行消息发送和 ...
- (转)不看绝对后悔的Linux三剑客之sed实战精讲
不看绝对后悔的Linux三剑客之sed实战精讲 原文:http://blog.51cto.com/hujiangtao/1923718 二.Linux三剑客之sed命令精讲 1,前言 我们都知道,在L ...
- SQL语法精讲(包括建库、建表、建视图、查询、增加、删除、)
SQL语法精讲(包括建库.建表.建视图.查询.增加.删除.修改) SQL分类: DDL—数据定义语言(CREATE,ALTER,DROP,DECLARE) DML—数据操纵语言(SELECT,DELE ...
随机推荐
- 第一天——编程语言与python
------------恢复内容开始------------ what's the python? python是一门编程语言,编程语言就是人用来和计算机沟通的语言,语言就是人与人,人与事物进行沟通的 ...
- 不一样的资产安全 3D 可视化平台
前言 数字经济时代,应用好数据是企业数字化转型的关键,基于前沿科学技术进行数据的有效管控,更是对数字增值服务的新趋势.近年来,整个安全行业对资产管理的重视程度正在提高.据IDC发布的相关数据显示, ...
- APP端有原生态的控件,但嵌入了H5页面,怎么定位到H5页面的元素
appium 通常有很多种定位元素方法,例如xpath,driver.find_element_by_accessibility_id等,安卓sdk自带的uiautomatorviewer但是对于H5 ...
- JVM笔记【1】-- 运行时数据区
目录 (一)java内存区域管理 1.1 程序计数器 1.2 虚拟机栈 1.3 本地方法栈 1.4 java堆 1.5 方法区 1.5.1 运行时常量池 (二)直接内存 (一)java内存区域管理 C ...
- ES6语法:class类,从了解到使用
前期提要: JavaScript 语言中,在使用类之前,生成实例对象的传统方法是通过使用构造函数. 一.构造函数: 定义:通过 new 函数名 来实例化对象的函数叫构造函数. 主要功能:为初 ...
- 由innodb锁引起的数据库相关
innodb 锁的问题 1.事务 原子性:要么成功,要么失败 一致性:前后数据保持一致状态 隔离性:多个事务并行,相互不影响 持久性:事务提交之后,对数据的影响是永久性的,即使故障也可以保持. 2.并 ...
- git 清除本地git commit的内容
由于我经常git add . , 然后再git commit -m "文字说明",这样有时候代码嵌套再另一个项目里面,就会把外面的项目一起提交了,导致提交的代码不是我想要的.小菜鸟 ...
- springMVC实现定时器
//springmvc.xml文件配置 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns ...
- java 常用时间操作类,计算到期提醒,N年后,N月后的日期
package com.zjjerp.tool; import java.text.ParseException; import java.text.ParsePosition; import jav ...
- 【探索之路】机器人篇(4)-根据3D文件来优化自己的机器人模型
此章节不是必须做的!!!! 因为我已经用solidworks画了机器人的3D模型,那我就直接导入已经画好的三维模型. 如果大家没有画也是可以直接使用上一章节我们已经构建的机器人模型.我这里只是一个对显 ...