炸弹实验室作业第 5 阶段 - 编写其 C 等效项

Posted 2023-03-22

【中文标题】炸弹实验室作业第 5 阶段 - 编写其 C 等效项

【英文标题】：Bomb Lab Assignment Phase 5 - Writing Its C Equivalent

【发布时间】：2021-02-12 08:32:57

【问题描述】：

我正在尝试为我的计算机体系结构课程解决稍微修改的 Bomb Lab 问题。我应该为这些函数编写等效的 C 语言，但被困在第 5 阶段。它与this question 非常相似，而且我确实已经弄清楚了该函数的大部分功能。

    105b:   56                      push   %esi
    105c:   53                      push   %ebx
    105d:   83 ec 10                sub    $0x10,%esp
    1060:   e8 6b fa ff ff          call   ad0 <__x86.get_pc_thunk.bx>
    1065:   81 c3 fb 3e 00 00       add    $0x3efb,%ebx
    106b:   8b 74 24 1c             mov    0x1c(%esp),%esi
    106f:   56                      push   %esi
    1070:   e8 bf 02 00 00          call   1334 <string_length>
    1075:   83 c4 10                add    $0x10,%esp
    1078:   83 f8 06                cmp    $0x6,%eax
    107b:   75 2e                   jne    10ab <phase_5+0x50>
    107d:   89 f0                   mov    %esi,%eax
    107f:   83 c6 06                add    $0x6,%esi
    1082:   b9 00 00 00 00          mov    $0x0,%ecx
    1087:   0f b6 10                movzbl (%eax),%edx
    108a:   83 e2 0f                and    $0xf,%edx
    108d:   03 8c 93 00 da ff ff    add    -0x2600(%ebx,%edx,4),%ecx
    1094:   83 c0 01                add    $0x1,%eax
    1097:   39 f0                   cmp    %esi,%eax
    1099:   75 ec                   jne    1087 <phase_5+0x2c>
    109b:   83 f9 34                cmp    $0x34,%ecx
    109e:   74 05                   je     10a5 <phase_5+0x4a>
    10a0:   e8 38 05 00 00          call   15dd <explode_bomb>
    10a5:   83 c4 04                add    $0x4,%esp
    10a8:   5b                      pop    %ebx
    10a9:   5e                      pop    %esi
    10aa:   c3                      ret    
    10ab:   e8 2d 05 00 00          call   15dd <explode_bomb>
    10b0:   eb cb                   jmp    107d <phase_5+0x22>

它是一个接受 6 个字符的字符串的函数（如果没有，炸弹就会爆炸）并执行某种形式的循环算法来产生一个数字。最后，如果循环结果不等于 52 (0x34)，则炸弹再次爆炸。但是，我无法理解代码的某些部分：

    108d:   03 8c 93 00 da ff ff    add    -0x2600(%ebx,%edx,4),%ecx

显然，它通过某种未知算法屏蔽字符串中每个字符的 ASCII 等效值来抵消您获得的数字。目前，我已经为每个字符制作了一个偏移量表，并设法获得了一个可接受的字符串aaaabb，但我想知道代码的 C 等效项是什么样的。

【参考方案1】：

就像在 Jester 的回答中一样，它正在索引一个数组。 ecx += table[edx]，对于static int table[];，EDX索引在寻址模式下按4缩放，因为sizeof(int)是4； asm 需要字节偏移，C 索引使用元素偏移。

---

-0x2600 + %ebx 是一个静态数组，与链接问题中的0x804a4a0 相同。但在静态反汇编中更难找到，因为创建此可执行文件的人烦人地将其编译为 32 位 PIE（与位置无关的可执行文件）。

32 位 PIC / PIE 很糟糕，因为 PC 相对寻址是 x86-64 的新功能，所以这对于逆向工程来说是不必要的复杂。

它将 GOT（全局偏移表）地址获取到 EBX：首先 call __x86.get_pc_thunk.bx 在 EBX 中返回其返回地址，即 0x1065 与您从 objdump -d 获得的占位符地址。然后add $0x3efb,%ebx 将该位置的偏移量添加到 GOT。

然后静态数据相对于 GOT 基址（在本例中为 EBX）进行寻址。痛苦地跟随它与绝对地址。在内核的程序加载器将代码映射到某个虚拟地址（0x1000 除外）之后，您可以在正在运行的进程中单步执行调试器。

或者手动执行：0x1065 + 0x3efb = GOT base (EBX) of 0x4f60。0x4f60-0x2600 是查找表数组开始：0x2960（如果您使用 objdump -D 来也转储数据部分）。您可以在 GDB 中使用该地址（之前 start 或 run）和 x 命令将表转储到一种方便的格式，而不是将数据假反汇编为来自 objdump 的代码。

正在运行的进程中的实际地址将是该地址加上 4096 (0x1000) 的某个倍数。

【讨论】：

那么，它本质上是使用我之前提到的偏移值表吗？在我的函数中，我应该对所述表进行硬编码，还是简单地从 main 中检索其值？

32 位整数表不是 offset 值的表，只是求和的值。表中的偏移量来自 main 作为 arg 传递的字符串的低位。该表在静态存储中，并且是该函数私有的，因此函数内部的static int table[] = ... 将是在与 asm 匹配的 C 版本中定义它的正确方法。 main 不知道。