拆卸二进制炸弹第3阶段的困难理解逻辑
问题描述 投票:6回答:1
我有来自二进制炸弹实验室的以下汇编程序。目的是确定在不触发explode_bomb函数的情况下运行二进制文件所需的关键字。我评论了我对该程序的程序集的分析,但无法将所有内容拼凑在一起。
我相信我拥有所需的所有信息,但是我仍然看不到实际的底层逻辑,因此我陷入了困境。我将不胜感激任何帮助!
以下是反汇编程序本身:
0x08048c3c <+0>: push %edi
0x08048c3d <+1>: push %esi
0x08048c3e <+2>: sub $0x14,%esp
0x08048c41 <+5>: movl $0x804a388,(%esp)
0x08048c48 <+12>: call 0x80490ab <string_length>
0x08048c4d <+17>: add $0x1,%eax
0x08048c50 <+20>: mov %eax,(%esp)
0x08048c53 <+23>: call 0x8048800 <malloc@plt>
0x08048c58 <+28>: mov $0x804a388,%esi
0x08048c5d <+33>: mov $0x13,%ecx
0x08048c62 <+38>: mov %eax,%edi
0x08048c64 <+40>: rep movsl %ds:(%esi),%es:(%edi)
0x08048c66 <+42>: movzwl (%esi),%edx
0x08048c69 <+45>: mov %dx,(%edi)
0x08048c6c <+48>: movzbl 0x11(%eax),%edx
0x08048c70 <+52>: mov %dl,0x10(%eax)
0x08048c73 <+55>: mov %eax,0x4(%esp)
0x08048c77 <+59>: mov 0x20(%esp),%eax
0x08048c7b <+63>: mov %eax,(%esp)
0x08048c7e <+66>: call 0x80490ca <strings_not_equal>
0x08048c83 <+71>: test %eax,%eax
0x08048c85 <+73>: je 0x8048c8c <phase_3+80>
0x08048c87 <+75>: call 0x8049363 <explode_bomb>
0x08048c8c <+80>: add $0x14,%esp
0x08048c8f <+83>: pop %esi
0x08048c90 <+84>: pop %edi
0x08048c91 <+85>: ret
以下块包含我的分析
5 <phase_3>
6 0x08048c3c <+0>: push %edi // push value in edi to stack
7 0x08048c3d <+1>: push %esi // push value of esi to stack
8 0x08048c3e <+2>: sub $0x14,%esp // grow stack by 0x14 (move stack ptr -0x14 bytes)
9
10 0x08048c41 <+5>: movl $0x804a388,(%esp) // put 0x804a388 into loc esp points to
11
12 0x08048c48 <+12>: call 0x80490ab <string_length> // check string length, store in eax
13 0x08048c4d <+17>: add $0x1,%eax // increment val in eax by 0x1 (str len + 1)
14 // at this point, eax = str_len + 1 = 77 + 1 = 78
15
16 0x08048c50 <+20>: mov %eax,(%esp) // get val in eax and put in loc on stack
17 //**** at this point, 0x804a388 should have a value of 78? ****
18
19 0x08048c53 <+23>: call 0x8048800 <malloc@plt> // malloc --> base ptr in eax
20
21 0x08048c58 <+28>: mov $0x804a388,%esi // 0x804a388 in esi
22 0x08048c5d <+33>: mov $0x13,%ecx // put 0x13 in ecx (counter register)
23 0x08048c62 <+38>: mov %eax,%edi // put val in eax into edi
24 0x08048c64 <+40>: rep movsl %ds:(%esi),%es:(%edi) // repeat 0x13 (19) times
25 // **** populate malloced memory with first 19 (edit: 76) chars of string at 0x804a388 (this string is 77 characters long)? ****
26
27 0x08048c66 <+42>: movzwl (%esi),%edx // put val in loc esi points to into edx
***** // at this point, edx should contain the string at 0x804a388?
28
29 0x08048c69 <+45>: mov %dx,(%edi) // put val in dx to loc edi points to
***** // not sure what effect this has or what is in edi at this point
30 0x08048c6c <+48>: movzbl 0x11(%eax),%edx // edx = [eax + 0x11]
31 0x08048c70 <+52>: mov %dl,0x10(%eax) // [eax + 0x10] = dl
32 0x08048c73 <+55>: mov %eax,0x4(%esp) // [esp + 0x4] = eax
33 0x08048c77 <+59>: mov 0x20(%esp),%eax // eax = [esp + 0x20]
34 0x08048c7b <+63>: mov %eax,(%esp) // put val in eax into loc esp points to
***** // not sure what effect these movs have
35
36 // edi --> first arg
37 // esi --> second arg
38 // compare value in esi to edi
39 0x08048c7e <+66>: call 0x80490ca <strings_not_equal> // store result in eax
40 0x08048c83 <+71>: test %eax,%eax
41 0x08048c85 <+73>: je 0x8048c8c <phase_3+80>
42 0x08048c87 <+75>: call 0x8049363 <explode_bomb>
43 0x08048c8c <+80>: add $0x14,%esp
44 0x08048c8f <+83>: pop %esi
45 0x08048c90 <+84>: pop %edi
46 0x08048c91 <+85>: ret
更新:
在调用strings_not_equal之前检查寄存器,我得到以下信息:
eax 0x804d8aa 134535338
ecx 0x0 0
edx 0x76 118
ebx 0xffffd354 -11436
esp 0xffffd280 0xffffd280
ebp 0xffffd2b8 0xffffd2b8
esi 0x804a3d4 134521812
edi 0x804f744 134543172
eip 0x8048c7b 0x8048c7b <phase_3+63>
eflags 0x282 [ SF IF ]
cs 0x23 35
ss 0x2b 43
ds 0x2b 43
es 0x2b 43
fs 0x0 0
gs 0x63 99
并且我使用Hopper得到以下反汇编的伪代码:
我什至尝试同时使用eax中找到的数字和前面视为我的关键字的字符串,但它们都不起作用。
1个回答
3
投票
投票
rep movsl将32位长字从地址%esi复制到地址%edi,每次都递增4,等于%ecx的次数。将其视为memcpy(edi, esi, ecx*4)。
请参阅https://felixcloutier.com/x86/movs:movsb:movsw:movsd:movsq(在Intel表示法中为movsd)。
因此,这正在复制19*4=76字节。
最新问题
- 禁用 WinForms ProgressBar 动画
- aws 应用程序运行 django static s3 url 缺少冒号错误的 url
- 左右移动脚本不起作用
- 如何从 firestore 查询中排除集合的所有文档?
- 错误2002(HY000):无法通过套接字'/var/run/mysqld/mysqld.sock'连接到本地MySQL服务器(2)帮助我
- 在 Google Colab 中,是否可以使用快捷方式展开/折叠所有部分切换?
- 我正在尝试使用 selenium python 来抢占一个网站,但它没有向我打印所有结果[重复]
- 如何在dataweave 2.0中按两个字段进行分组?
- PWA 独立音频控制和后台播放
- /ride/create/
- 为什么 Streambuilder 不更新 UI?
- Selenium 不可靠地返回查找到的元素
- 阻止来自容器的 HTTP/HTTPS POST/PUT
- to_csv pandas 中的分隔符设置
- 使用 Angular 在 Spring Boot 应用程序中显示 JSP 视图的问题
- Java.lang.NoClassDefFoundError:org/eclipse/jetty/util/component/ContainerLifeCycle
- 如何更改MAUI中标题栏的颜色?
- 通过 REST API 修改 TeamCity 中正在运行(或完成)的构建的参数
- 查看层次结构未捕获位置授权提示
- 如何在WinUI 3中更改窗口标题栏颜色
© www.soinside.com 2019 - 2024. All rights reserved.