實驗目的：

通過二進位制炸彈實驗，熟悉組合語言，反彙編工具objdump以及gdb除錯工具。

實驗內容：

1、炸彈實驗第5關。

2、炸彈實驗第6關。

實驗過程：

第五關：

1、根據前幾關的經驗，進入bomb檔案的gdb除錯命令下，直接檢視第五關的彙編程式碼。

2、直接回車可以顯示餘下的phase_5函式的程式碼，瀏覽完一遍phase_5函式的彙編程式碼後，並不能直接發現此程式碼的精髓所在，因此，我開始逐條分析phase_5函式的程式碼。

首先是棧幀準備，開闢32位元組的空間：

接著載入%ebp-0x10處的有效地址間接儲存到%esp+0xc處，也就是引數2存放的地方，同理，載入%ebp-0xc處的有效地址間接儲存到%esp+0x8

接著看見了一串似曾相似的程式碼，老規矩，檢視此地址處存放的資料，發現我們仍是輸入兩個整數。

接著把%ebp+0x8處儲存的值傳送給%esp，然後呼叫[email protected]函式。

3、往下接著看，比較了%eax和1的大小，若%eax大於1，則跳轉到<phase_5+51>處，否則，呼叫爆炸函式，引起爆炸，由此處可得，輸入的引數個數必須大於1個。

4、接著把引數1傳給%eax，並對%eax與0xf作按位與運算，也就是取出引數1的低四位。

5、接著把取出來的引數1的低四位與0xf作比較，若相等，則跳轉到爆炸函式，否則，執行下一步，由此可見，引數1

6、接下來對%ecx，%edx賦值，初始化為0，%ebx則儲存地址0x804a1c0。

7、接下來，執行%edx加1操作，而後執行操作得到eax=*(ebx+4eax)，由於之前得到%ebx儲存地址0x804a1c0，並且此處以4*eax為步長，猜測0x804a1c0是一個數組的首地址，接著把儲存在地址*(ebx+4eax)處的值與%ecx相加儲存在%ecx中。

8、接著把%eax儲存的值（應該是陣列的序號）與0xf也就是15作比較，若不等於，則跳到<phase_5+80>處，否則，接著執行後續程式碼，由此可知，<phase_5+80>處開始應該是一個迴圈，每次迴圈取出陣列中的一個值累加儲存到

9、分析到這裡，大概可以理清了,輸入引數1，呼叫迴圈，而後每次從陣列中取出一個數累加到%ecx中，且16次迴圈的過程中直到最後一個才能取到15，由此，我們打印出陣列連續的16位。

另外我試著多列印幾位看看數組裡儲存的到底是什麼：

發現，其實這個數組裡儲存的剛好就只有16個有效元素，由此，推匯出下面這個表。

陣列序號和陣列值相對應的表：

然後，根據上述推斷則可以逆推出在數組裡取到的值包括引數1在內的序列為：

又因為引數2為在數組裡取到的值的累加值，所以引數2為：

12+3+7+11+13+9+4+8+0+10+1+2+14+6+15=115

也可以通過檢視暫存器的值來得到引數2，通過以上分析，可以知道引數2被儲存在%ecx中，在下圖中可以看到%ecx中儲存的值為115，和我求出來的一致，同時，也可以看到%eax和%edx儲存的值都為15，與上述分析的也一致：

接下來測試一下5 、115是不是正確的通關密碼：

到這裡，我不由得想起上次課程老師講過的一點，在呼叫函式的之後，%eax和1作比較，得出的結論是，輸入引數的個數必須大於1，那我是不是不用侷限於兩個，測試一下，隨便輸入第三個引數，看看會怎樣，很驚訝，加了第三個引數，我隨便輸入了32，並沒有影響通關密碼的正確性，那麼，就可以猜測，第五關的密碼，只要前兩個正確，後面應該隨便組合都行吧，有無數種可能，這裡，我就不一一去檢驗了：

緊接著，我想到了另外一點，前面有讓%eax的低四位和1111作比較，得出的結論是引數1的二進位制低四位不能為1111，而我求出來的答案是5,5的二進位制表示為0101，於是，我有個大膽的猜想，是不是，只要輸入的引數1的二進位制形式的低四位不為1111，或者說剛好為0101的組合都符合通關密碼的條件呢，我檢驗一下10101也就是21看看對不對，驚喜又出現了，真的可以，所以，答案應該是無數種，這裡同樣不一一檢驗了：

附上phase_5函式的棧幀圖：

第五關成功通過。

第六關：

1、老規矩，檢視phase_6的彙編程式碼。

2、在粗略瀏覽完全部程式碼後，真的是不知所云，但還是看見了那麼兩個熟悉的函式名read_six_numbers和explode_bomb函式，由此，只能慢慢開始分析彙編程式碼，老實說，在畫完棧幀圖，一條一條過完全部指令後，我發現，單條指令是什麼我知道，但綜合所有的彙編程式碼，我真的是懵的，所以，我接著又重新再分析程式碼，仔細咀嚼。

首先是一些堆疊準備以及記憶體空間的開闢，這裡申請了92位元組的記憶體空間：

下圖是phase_6函式的棧幀圖：

3、接著載入了%ebp-0x30儲存的有效地址到%esp+0x4處，然後呼叫了read_six_numbers函式，檢視此函式的彙編程式碼，結合前面第二關的經驗，可以得到此函式是通過呼叫[email protected]函式來讀取六個整數的：

4、在呼叫read_six_numbers函式讀取完六個整數後，執行了如下操作，分析得到讀取的六個整數儲存在棧幀中的位置如下圖所示，所以，當對%ebp-0x30處的資料進行操作時，即可知道是在對引數1進行操作，下圖紅色框內的語句可以得到引數1要小於等於6，通過藍框和紅框內的語句可以得到第二個數和第一個數不相同，結合這一部分的整體程式碼，可以推出讀取到的六個數之間不相等且都小於等於6：

5、接著檢視後續程式碼，分析以後可以得到，此段程式碼主要實現把一個單鏈表的節點資訊根據輸入引數的值提取出來儲存在%ebp-0x48到%epb-0x34的地址處，也就是按照一定的順序這裡是降序（下圖中藍線部分，對新的連結串列的第一個節點的值和第二個結點的值作了比較，得出第一個節點的值大於等於第二個節點的值）把連結串列各個節點的地址儲存在棧幀中：

得出降序排列的語句：

推導過程圖：

執行完這部分程式碼的部分棧幀圖，當然，下圖中的節點1或者節點6指的是根據輸入引數選取出的節點，所以這裡的節點1指的就是連結串列中儲存最大值的那個節點，其它同理：

6、接下來的彙編程式碼則是根據上一步得到的降序排序得到的節點地址資訊把連結串列恢復的這麼一個過程：

7、所以，只要能得到以地址0x804c0c4為首地址儲存的這個連結串列儲存的資料得出即可以推出輸入的六個引數：

8、得到六個結點分別儲存的值為：

降序排列後得：

9、根據前面的推導過程可以得出輸入的六個引數為5、6、1、4、3、2，檢驗正確性：

第六關成功通過。

總結：

通過本次實驗真的真的讓我讀彙編程式碼的能力提升了很多很多，雖然讀彙編程式碼整體性的把控不是很好，但較以前真的大大提升了，也掌握了利用gdb除錯的一些基本方法，頗有收穫。