一．實驗目的

通過此次實驗，提高閱讀和理解彙編程式碼的能力，學習使用gdb除錯工具。

二．實驗資源

從實驗課程網站上下載的bomb壓縮包。實驗環境為虛擬機器中的linux系統。

三．實驗要求與準備

<1>本次實驗為熟悉彙編程式及其除錯方法的實驗。 

<2>實驗內容包含2個檔案bomb（可執行檔案）和bomb.c（c原始檔）。 

<3>使用gdb工具反彙編出彙編程式碼，結合c語言檔案找到每個關卡的入口函式。 

<4>分析彙編程式碼，找到在每個phase程式段中，載入程式跳轉到 “explode_bomb”程式段的地方，並分析其成功跳轉的條件，以此為突破口尋找應該在命令列輸入何種字元通關。 

<5>本實驗一共有7個關卡，包括6個普通關卡和1個隱藏關卡。要求至少通過6個普通關卡

1.直接在linux系統中用瀏覽器登入實驗課程網路，下載bomb實驗相關資料夾。可執行檔案bomb，C語言檔案放在桌面。

2. cd+Desktop進入桌面資料夾，對bomb反彙編得到彙編程式碼放在1.txt檔案中。

2. 嘗試執行檔案。發現無法正常執行，顯示沒有許可權，通過查閱相關資料找到了一個解決辦法：

選中bomb->properties->permissions->選擇allow executing file as program

四．實驗任務

Phase 1

1.思路分析與原理設計

<1>前面幾行是開闢棧：

push %ebp                     ebp入棧

mov %esp,%ebp                 esp始終指向棧頂元素，此時ebp為棧頂

Sub $0x18,%esp                開闢一段新的空間

<2>找到跳轉到<explode_bomb>的程式碼段

向前找到<explode_bomb>的條件：<string_not_equal>，即兩個字串內容不相同時

要比較的兩個字串分別是：

立即數0x804a15c地址中的內容和0x8(% ebp)，即我們要輸入的字串。

2.利用gdb檢視地址0x804a15c的內容，得到通關語句

實驗心得

觀察彙編程式碼，發現呼叫了<string_not_equal>函式，可以推測輸入的是一串字串，通過x/s以字串的形式檢視地址0x804a15c所對應的值，輸入該字串即可通過關卡。字串比較函式是通過將兩個字串進行比較，將結果存到%eax中，最後判斷%eax的值。

phase 2

1.思路分析與原理設計

發現在這段程式碼中，有幾個呼叫函式的地方：

<1>8048d7f   call 804910b<read_six_numbers>

呼叫名為read_six_numbers的函式，讀入輸入的六個數，檢視該函式的彙編程式碼：

0804910b <read_six_numbers>:

push   %ebp ：%ebp入棧

mov    %esp,%ebp：使%esp儲存當前棧頂的地址，即指向%ebp

sub    $0x28,%esp：為當前函式開闢一個棧幀

mov    0xc(%ebp),%eax

lea    0x14(%eax),%edx

mov    %edx,0x1c(%esp)：儲存第六個數

lea    0x10(%eax),%edx

mov    %edx,0x18(%esp)：儲存第五個數

lea    0xc(%eax),%edx

mov    %edx,0x14(%esp)：儲存第四個數

lea    0x8(%eax),%edx

mov    %edx,0x10(%esp)：儲存第三個數

lea    0x4(%eax),%edx

mov    %edx,0xc(%esp)：儲存第二個數

mov    %eax,0x8(%esp)：儲存第一個數

movl   $0x804a232,0x4(%esp)

<2>在8048d90處呼叫<explode_bomb>

棧的開闢階段

讀入六個數

將第一個數放在了-0x20(%ebp)的位置，並比較第一個數與0的大小，若相等則繼續，否則炸彈爆炸，第二個數在-0x1c(%ebp)的位置，比較第二個數與1的大小，若相等，則繼續，否則炸彈爆炸。所以可以確定要輸入的第一個數是0，第二個數是1.

將地址-0x18(%ebp)->%ebx

將地址-0x8(%ebp)->%esi

mov  -0x4(%ebx),%eax     %ebx儲存相對%ebp偏移量為24（0x18的十進位制數）的地址，該地址-4傳給%eax，即%eax中儲存相對%ebp偏移量為28

add -0x8(%ebx),%eax     將相對ebp偏移量為28和32的記憶體中的數相加，即將第一個數0，第二個數1，相加，得到第三個數1，存入%eax

esi為迴圈結束條件，%ebp中的值加4，即將第二個和第三個數相加，得到第四個數，第三個和第四個數相加，得到第五個，第四個數和第五個數相加，得到第六個數。這段彙編程式碼先確定了前兩個數的值，然後通過迴圈，後面的數等於它前面兩個數之和依次確定這六個數。

2. 得到通關語句

迴圈結束，所以要輸入的六個數分別是：0 1 1 2 3 5

輸入這六個數，通關

2. 實驗心得

先確定第一二個數，這部分比較簡單，然後add -0x8(%ebx),%eax ，將兩個數相加，結果儲存在%eax，%esi控制迴圈，%ebx=%ebx+4，改變參加運算的兩個數的地址。

Phase 3

1.思路分析與原理設計

<1>棧的建立過程

 8048ea1: 55                    push   %ebp

 8048ea2: 89 e5                 mov    %esp,%ebp

 8048ea4: 83 ec 28              sub    $0x28,%esp

<2>

 8048ea7: 8d 45 f0              lea    -0x10(%ebp),%eax

 8048eaa: 89 44 24 0c           mov    %eax,0xc(%esp)

 8048eae: 8d 45 f4              lea    -0xc(%ebp),%eax

 8048eb1: 89 44 24 08           mov    %eax,0x8(%esp)

 8048eb5: c7 44 24 04 3e a2 04 movl   $0x804a23e,0x4(%esp)

 8048ebc: 08

 8048ebd: 8b 45 08              mov    0x8(%ebp),%eax

 8048ec0: 89 04 24              mov    %eax,(%esp)

執行完這些步驟後的棧：

<3>call呼叫函式[email protected]

呼叫函式結束後，可以看到當%eax>1時，跳轉，否則引爆炸彈，推測eax為函式[email protected]的返回值，則需要輸入一個以上的數字。

<4>輸入數字

根據這兩條彙編語句推測，輸入的第一個數字儲存在地址-0xc(%ebp)中，且不大於7.

<5> switch部分

進入switch語句，根據輸入的不同數字，跳轉到不同的地址，具體的地址要使用gdb檢視。

在gdb中，用p/x *(int *)(0x804a1a0+4*輸入的數字)檢視對於所有輸入輸入的跳轉地址。

繼續向下進行：發現第一個輸入的數字必須小於等於5，第二個數必須和%eax中的值相等，即根據輸入的第一個數跳轉到不同地址，對%eax中的數進行相關操作，產生一個新值，輸入的第二個數必須和這個數相等。

根據跳轉地址，計算第二個數。

i=0時，跳轉到0x8048f12

8048f1e: 2d 5a 03 00 00        sub    $0x35a,%eax

 8048f23: 05 ef 02 00 00        add    $0x2ef,%eax

 8048f28: 2d 16 02 00 00        sub    $0x216,%eax

 8048f2d: 05 16 02 00 00        add    $0x216,%eax

 8048f32: 2d 16 02 00 00        sub    $0x216,%eax

 8048f37: 05 16 02 00 00        add    $0x216,%eax

 8048f3c: 2d 16 02 00 00        sub    $0x216,%eax

經計算的到第二個數應為147

 8048f41: eb 0a                jmp    8048f4d <phase_3+0xac>//跳轉到地址8048f4d

這句彙編程式碼要求輸入的第一個數字不大於5

i=1時，跳轉到0x8048f19

根據這些語句計算出第一個數為1時，第二個數應為-641

可以看到進行完計算的操作後，都要跳轉到地址8048f4d即第一個輸入數字不能大於5.

2.得到結果

3. 實驗心得

使用了switch分支結構，根據輸如的不同數字跳轉到不同位置進行不同位置進行運算，最後得到結果。首先分析輸入數字的範圍，然後通過不同的輸入判斷跳轉的位置來準確計算。