我正在非常困难地追踪下面的二进制炸弹的汇编代码(从学校分配炸弹必须被拆除,这个炸弹包含6个阶段,所有阶段都有1个正确的输入以进入下一个阶段) 。我目前在phase_4上,它有一个名为func4的递归函数。我已经确定输入是“%d%d”,这是两个整数。但是,即使在每个步骤中获取所有寄存器的信息之后,我也无法弄清楚func4正在做什么。
Phase_4:
(gdb) disas
Dump of assembler code for function phase_4:
=> 0x08048e24 <+0>: sub $0x2c,%esp
0x08048e27 <+3>: lea 0x1c(%esp),%eax
0x08048e2b <+7>: mov %eax,0xc(%esp)
0x08048e2f <+11>: lea 0x18(%esp),%eax
0x08048e33 <+15>: mov %eax,0x8(%esp)
0x08048e37 <+19>: movl $0x804a7f1,0x4(%esp)
0x08048e3f <+27>: mov 0x30(%esp),%eax
0x08048e43 <+31>: mov %eax,(%esp)
0x08048e46 <+34>: call 0x80488d0 <__isoc99_sscanf@plt>
0x08048e4b <+39>: cmp $0x2,%eax
0x08048e4e <+42>: jne 0x8048e5d <phase_4+57>
0x08048e50 <+44>: mov 0x18(%esp),%eax
0x08048e54 <+48>: test %eax,%eax
0x08048e56 <+50>: js 0x8048e5d <phase_4+57>
0x08048e58 <+52>: cmp $0xe,%eax
0x08048e5b <+55>: jle 0x8048e62 <phase_4+62>
0x08048e5d <+57>: call 0x8049470 <explode_bomb>
0x08048e62 <+62>: movl $0xe,0x8(%esp)
0x08048e6a <+70>: movl $0x0,0x4(%esp)
0x08048e72 <+78>: mov 0x18(%esp),%eax
0x08048e76 <+82>: mov %eax,(%esp)
0x08048e79 <+85>: call 0x8048dbb <func4>
0x08048e7e <+90>: cmp $0x25,%eax
0x08048e81 <+93>: jne 0x8048e8a <phase_4+102>
0x08048e83 <+95>: cmpl $0x25,0x1c(%esp)
0x08048e88 <+100>: je 0x8048e8f <phase_4+107>
0x08048e8a <+102>: call 0x8049470 <explode_bomb>
0x08048e8f <+107>: add $0x2c,%esp
0x08048e92 <+110>: ret
End of assembler dump.
FUNC4:
Breakpoint 2, 0x08048dbb in func4 ()
(gdb) disas
Dump of assembler code for function func4:
=> 0x08048dbb <+0>: sub $0x1c,%esp
0x08048dbe <+3>: mov %ebx,0x14(%esp)
0x08048dc2 <+7>: mov %esi,0x18(%esp)
0x08048dc6 <+11>: mov 0x20(%esp),%eax
0x08048dca <+15>: mov 0x24(%esp),%edx
0x08048dce <+19>: mov 0x28(%esp),%esi
0x08048dd2 <+23>: mov %esi,%ecx
0x08048dd4 <+25>: sub %edx,%ecx
0x08048dd6 <+27>: mov %ecx,%ebx
0x08048dd8 <+29>: shr $0x1f,%ebx
0x08048ddb <+32>: add %ebx,%ecx
0x08048ddd <+34>: sar %ecx
0x08048ddf <+36>: lea (%ecx,%edx,1),%ebx
0x08048de2 <+39>: cmp %eax,%ebx
0x08048de4 <+41>: jle 0x8048dfd <func4+66>
0x08048de6 <+43>: lea -0x1(%ebx),%ecx
0x08048de9 <+46>: mov %ecx,0x8(%esp)
0x08048ded <+50>: mov %edx,0x4(%esp)
0x08048df1 <+54>: mov %eax,(%esp)
0x08048df4 <+57>: call 0x8048dbb <func4>
0x08048df9 <+62>: add %eax,%ebx
0x08048dfb <+64>: jmp 0x8048e16 <func4+91>
0x08048dfd <+66>: cmp %eax,%ebx
0x08048dff <+68>: jge 0x8048e16 <func4+91>
0x08048e01 <+70>: mov %esi,0x8(%esp)
0x08048e05 <+74>: lea 0x1(%ebx),%edx
0x08048e08 <+77>: mov %edx,0x4(%esp)
0x08048e0c <+81>: mov %eax,(%esp)
0x08048e0f <+84>: call 0x8048dbb <func4>
0x08048e14 <+89>: add %eax,%ebx
0x08048e16 <+91>: mov %ebx,%eax
0x08048e18 <+93>: mov 0x14(%esp),%ebx
0x08048e1c <+97>: mov 0x18(%esp),%esi
0x08048e20 <+101>: add $0x1c,%esp
0x08048e23 <+104>: ret
End of assembler dump.
答案 0 :(得分:11)
我希望phase4检查第一个数字是否在0 .. 14范围内是显而易见的(参见+44行。{{1} })
然后它使用三个参数调用+57:输入的第一个数字func4和0(行14 .. +62)。接下来,它检查+85行的返回值是0x25(十进制37),输入的第二个数字也是+90(行37)
让我们继续+95。我将调用三个参数func4,x和low。最初你当然不知道它们是什么。行high .. +23计算+34。丑陋的混乱是因为编译器生成代码来处理负数,截断为零。我们不会看到任何负数。行(high - low) / 2只是一个奇特的添加,所以在+36我们现在有ebx,这也称为两个数字的平均值。然后,代码将此平均值与作为第一个参数提供的数字low + (high - low) / 2进行比较。行x .. +43如果+62执行,他们会调用x < average并将返回的值添加到平均值。同样,如果func4(x, low, average - 1)并计算+70,则会执行+89 ... x > average行。如果average + func4(x, average + 1, high)则只返回平均值。
它基本上是进行二元搜索并总结猜测。假设间隔有15个元素,则最多需要4个猜测。第一个猜测是x == average,因此要获得7所需的结果,我们需要37更多。我们最多还有3次尝试,并且所有猜测都将少于7次或超过7.由于30并且不能给我们7 * 3 = 21,这意味着该数字必须大于7因此,第二次猜测将是30,使我们的总和(8 + 14) / 2 = 11与18更多。如果数字大于11意味着我们超过了目标,那么数字必须大于7且小于11.因此,第三个猜测为19,其总和为(8 + 10) / 2 = 9 {{1}还有更多,只需一次猜测,这意味着数字为27。
TL; DR:正确的输入应为10和10