1. 二进制炸弹实验入门指南第一次接触CSAPP的二进制炸弹实验时我完全被这个会爆炸的程序吸引了。这个实验就像是一个数字版的拆弹游戏你需要通过反汇编和调试找到正确的输入字符串来拆除炸弹。听起来很刺激对吧不过别担心跟着我的步骤来你也能成为拆弹专家。二进制炸弹程序包含6个关卡phase每个关卡都需要输入特定的字符串。如果输入错误程序就会爆炸——打印错误信息并退出。我们的任务就是通过反汇编和调试找出每个关卡的正确输入。实验环境准备操作系统推荐使用Linux我用的CentOS 7必要工具GDB调试器、objdump反汇编工具实验文件从CSAPP官网下载的bomb.tar压缩包我第一次做这个实验时花了一整天才通过第一关。但掌握方法后后面几关反而越来越快。记住耐心和细心是这个实验的关键。2. 反汇编基础与工具使用2.1 认识反汇编工具工欲善其事必先利其器。在开始拆弹前我们需要熟悉两个重要工具objdump这个工具能把二进制文件转换成汇编代码objdump -d bomb bomb.txt这条命令会把bomb程序的汇编代码保存到bomb.txt中GDB强大的调试工具可以单步执行、查看寄存器和内存gdb bomb我第一次用GDB时被那一堆命令搞得头晕。但实际用到的命令并不多掌握下面几个就够用了break或b设置断点run或r运行程序stepi或si单步执行汇编指令print或p打印寄存器或变量值x查看内存内容2.2 理解x86-64汇编基础二进制炸弹实验用的是x86-64架构的汇编有几个关键点需要掌握寄存器%rax通常存放返回值%rdi、%rsi等用于传递参数函数调用参数通过寄存器传递前6个多余的通过栈传递常见指令mov数据移动call调用函数cmp比较jmp跳转我记得第一次看到lea指令时很困惑它看起来像取地址但实际上是做算术运算。类似的小陷阱在汇编中很多需要特别注意。3. 第一关字符串比较3.1 分析main函数流程让我们从第一关开始。首先用objdump反汇编程序查看main函数的汇编代码0000000000400da0 main: 400da0: 53 push %rbx ... 400e32: e8 67 06 00 00 callq 40149e read_line 400e37: 48 89 c7 mov %rax,%rdi 400e3a: e8 a1 00 00 00 callq 400ee0 phase_1关键点read_line读取用户输入结果存放在%rax输入字符串被移到%rdi作为phase_1的参数3.2 破解phase_1查看phase_1的代码0000000000400ee0 phase_1: 400ee0: 48 83 ec 08 sub $0x8,%rsp 400ee4: be 00 24 40 00 mov $0x402400,%esi 400ee9: e8 4a 04 00 00 callq 401338 strings_not_equal 400eee: 85 c0 test %eax,%eax 400ef0: 74 05 je 400ef7 phase_10x17 400ef2: e8 43 05 00 00 callq 40143a explode_bomb这段代码做了三件事把0x402400地址的值赋给%esi调用strings_not_equal比较%rdi(我们的输入)和%esi指向的字符串如果不等(返回值非0)就引爆炸弹所以0x402400处就是正确答案用GDB查看(gdb) x/s 0x402400 0x402400: Border relations with Canada have never been better.这就是第一关的答案把它保存到answer文件里运行程序测试echo Border relations with Canada have never been better. answer ./bomb answer看到Phase 1 defused就说明成功了4. 第二关数字序列分析4.1 理解read_six_numbers第二关的phase_2会调用read_six_numbers函数0000000000400efc phase_2: 400efc: 55 push %rbp ... 400f05: e8 52 05 00 00 callq 40145c read_six_numbersread_six_numbers会用sscanf解析输入查看其格式化字符串(gdb) x/s 0x4025c3 0x4025c3: %d %d %d %d %d %d所以这一关需要输入6个整数用空格分隔。4.2 破解数字规律继续分析phase_2的代码400f0a: 83 3c 24 01 cmpl $0x1,(%rsp) # 第一个数必须是1 400f17: 8b 43 fc mov -0x4(%rbx),%eax 400f1a: 01 c0 add %eax,%eax # 前一个数乘以2 400f1c: 39 03 cmp %eax,(%rbx) # 必须等于当前数这段代码检查数字序列是否满足第一个数是1每个数是前一个数的2倍因此正确答案是1 2 4 8 16 325. 第三关switch语句分析5.1 识别输入格式phase_3的汇编开头0000000000400f43 phase_3: 400f43: 48 83 ec 18 sub $0x18,%rsp 400f51: be cf 25 40 00 mov $0x4025cf,%esi查看格式化字符串(gdb) x/s 0x4025cf 0x4025cf: %d %d这关需要输入两个整数。5.2 解析switch跳转表关键代码400f75: ff 24 c5 70 24 40 00 jmpq *0x402470(,%rax,8)这是典型的switch语句实现0x402470是跳转表地址。用GDB查看(gdb) x/8g 0x402470 0x402470: 0x0000000000400f7c 0x0000000000400fb9 0x402480: 0x0000000000400f83 0x0000000000400f8a ...根据第一个输入的数字(0-7)程序会跳转到不同地址每个case会给%eax赋不同的值然后与第二个输入比较。因此有多组解比如0 2071 3112 707...6. 第四关递归函数分析6.1 理解func4递归phase_4也接受两个整数输入但这次需要分析一个递归函数func40000000000400fce func4: 400fce: 48 83 ec 08 sub $0x8,%rsp 400fd2: 89 d0 mov %edx,%eax 400fd4: 29 f0 sub %esi,%eax ... 400fe9: e8 e0 ff ff ff callq 400fce func4这个函数实现了一个二分查找的逻辑。经过分析当第一个输入为0,1,3,7时func4返回0。同时第二个输入必须为0。因此可能的解有0 01 03 07 07. 第五关字符处理与查表7.1 分析字符转换逻辑phase_5需要输入6个字符的字符串0000000000401062 phase_5: 401062: 53 push %rbx 40107f: 83 f8 06 cmp $0x6,%eax # 输入长度必须为6关键转换逻辑401096: 83 e2 0f and $0xf,%edx # 取字符低4位 401099: 0f b6 92 b0 24 40 00 movzbl 0x4024b0(%rdx),%edx # 查表查看转换表(gdb) x/16c 0x4024b0 0x4024b0: 109 m 97 a 100 d 117 u...程序会把输入字符的低4位作为索引从表中取出对应字符最终结果需要是flyers。通过计算可以得到一组解IONUVW。8. 第六关链表结构分析8.1 理解链表操作phase_6是最复杂的一关涉及链表操作00000000004010f4 phase_6: 4010f4: 41 56 push %r14 ... 401183: ba d0 32 60 00 mov $0x6032d0,%edx # 链表头用GDB查看链表(gdb) x/24x 0x6032d0 0x6032d0 node1: 0x0000014c 0x00000001 0x006032e0 0x00000000 0x6032e0 node2: 0x000000a8 0x00000002 0x006032f0 0x00000000 ...链表节点结构第一个4字节是值第二个4字节是节点编号后8字节是下一个节点指针8.2 破解排序逻辑程序要求我们输入6个数字(1-6)经过转换后会按对应节点的值降序排列。通过分析唯一解是4 3 2 1 6 59. 隐藏关卡揭秘9.1 触发隐藏关在phase_defused函数中如果检测到第四关输入了额外字符串DrEvil就会进入secret_phase00000000004015c4 phase_defused: 4015c4: 48 83 ec 78 sub $0x78,%rsp ... 401604: be 22 26 40 00 mov $0x402622,%esi查看字符串(gdb) x/s 0x402622 0x402622: DrEvil所以修改第四关答案为7 0 DrEvil即可触发隐藏关。9.2 破解二叉树问题secret_phase要求输入一个数字并调用fun7处理0000000000401204 fun7: 401204: 48 83 ec 08 sub $0x8,%rsp 401208: 48 85 ff test %rdi,%rdi ... 40122d: e8 d2 ff ff ff callq 401204 fun7fun7递归遍历一棵二叉树要求返回值为2。通过分析有两个解20或22。10. 完整答案与验证将所有关卡的答案保存到answer文件Border relations with Canada have never been better. 1 2 4 8 16 32 0 207 7 0 DrEvil IONUVW 4 3 2 1 6 5 22运行测试./bomb answer看到Congratulations! Youve defused the bomb!就大功告成了这个实验让我深刻理解了汇编语言和程序运行机制。最难的不是写代码而是逆向思考——通过结果反推输入。这种技能在实际调试和逆向工程中非常有用。