feat: add phase 4 assembly code in bomb-lab article

Author: SimoneCheng

docs/notes/CSAPP/bomb-lab.md

@@ -3,9 +3,9 @@ title: Bomb Lab 解題筆記
 date: 2025-12-10
 ---
 
-## GDB 常用指令
+## :whale: GDB 常用指令
 
-### 控制執行
+### :crab: 控制執行
 ```bash
 break phase_1        # 在函數設中斷點
 break *0x400ee0      # 在特定位址設中斷點
@@ -16,7 +16,7 @@ ni                   # 執行一條指令（不進入函數）
 si                   # 執行一條指令（會進入函數）
 ```
 
-### 查看程式碼
+### :crab: 查看程式碼
 ```bash
 disassemble          # 看當前函數的組語
 disassemble phase_2  # 看指定函數的組語
@@ -26,7 +26,7 @@ ctrl + x, 再按 a      # 退出 layout
 x/i $rip             # 看當前要執行的指令
 ```
 
-### 查看資料
+### :crab: 查看資料
 ```bash
 print $rax           # 看暫存器的值（十進位）
 print/x $rax         # 看暫存器的值（十六進位）
@@ -40,16 +40,16 @@ x/i $rip             # 看記憶體內容（指令）
 x/8a 0x402470        # 看 8 個位址（用於 jump table）
 ```
 
-### 其他
+### :crab: 其他
 ```bash
 quit (q)             # 離開 gdb
 ```
 
 ---
 
-## x86-64 Assembly 基礎知識
+## :whale: x86-64 Assembly 基礎知識
 
-### 常用暫存器與用途
+### :crab: 常用暫存器與用途
 ```
 函數參數傳遞（calling convention）：
 %rdi  →  第 1 個參數
@@ -66,22 +66,22 @@ quit (q)             # 離開 gdb
 %rip  →  instruction pointer（下一條要執行的指令）
 ```
 
-### 指令語法（AT&T 格式）
+### :crab: 指令語法（AT&T 格式）
 ```assembly
 mov    %rsp,%rsi    # 把 %rsp 的值複製到 %rsi
                     # 格式：mov 來源, 目的地
 add    %eax,%eax    # %eax = %eax + %eax（乘以 2）
 ```
 
-### 記憶體存取語法
+### :crab: 記憶體存取語法
 ```assembly
 (%rsp)              # 取 %rsp 指向的記憶體內容
 0x4(%rsp)           # 取 %rsp + 4 的記憶體內容
 -0x4(%rbx)          # 取 %rbx - 4 的記憶體內容
 0x402470(,%rax,8)   # 計算：0x402470 + %rax * 8
 ```
 
-### 比較和跳躍指令
+### :crab: 比較和跳躍指令
 ```assembly
 cmp    %eax,(%rbx)  # 比較 (%rbx) 和 %eax
 je     地址          # jump if equal（相等就跳）
@@ -91,7 +91,7 @@ ja     地址          # jump if above（無號數大於）
 jbe    地址          # jump if below or equal（小於等於就跳）
 ```
 
-### 如何判斷暫存器是位址還是值
+### :crab: 如何判斷暫存器是位址還是值
 
 **關鍵：看有沒有括號**
 - **有括號 `()` → 當作位址使用**
@@ -110,24 +110,9 @@ jbe    地址          # jump if below or equal（小於等於就跳）
 
 ---
 
-## Phase 1
+## :whale: Phase 1
 
 ```bash
-GNU gdb (Ubuntu 16.2-8ubuntu1) 16.2
-Copyright (C) 2024 Free Software Foundation, Inc.
-License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
-This is free software: you are free to change and redistribute it.
-There is NO WARRANTY, to the extent permitted by law.
-Type "show copying" and "show warranty" for details.
-This GDB was configured as "x86_64-linux-gnu".
-Type "show configuration" for configuration details.
-For bug reporting instructions, please see:
-<https://www.gnu.org/software/gdb/bugs/>.
-Find the GDB manual and other documentation resources online at:
-    <http://www.gnu.org/software/gdb/documentation/>.
-For help, type "help".
-Type "apropos word" to search for commands related to "word"...
-Reading symbols from bomb...
 (gdb) break phase_1
 Breakpoint 1 at 0x400ee0
 (gdb) run
@@ -142,6 +127,7 @@ Using host libthread_db library "/lib/x86_64-linux-gnu/libthread_db.so.1".
 Welcome to my fiendish little bomb. You have 6 phases with
 which to blow yourself up. Have a nice day!
 aaa
+
 Breakpoint 1, 0x0000000000400ee0 in phase_1 ()
 (gdb) disassemble
 Dump of assembler code for function phase_1:
@@ -156,15 +142,16 @@ Dump of assembler code for function phase_1:
 End of assembler dump.
 ```
 
-### 解題策略
+### :crab: 解題策略
 這是最簡單的 phase，主要是字串比較。
 
-### 解析步驟
+### :crab: 解析步驟
 1. **找關鍵參數**
    - 觀察 `mov $0x402400,%esi` 這行
    - `%esi` 是第二個參數，`0x402400` 是一個位址
 
 2. **查看位址內容**
+
 ```bash
    (gdb) x/s 0x402400
    0x402400: "Border relations with Canada have never been better."
@@ -177,24 +164,9 @@ End of assembler dump.
    - 如果 `%eax == 0`（相等），就通過
    - 否則爆炸
 
-## Phase 2
+## :whale: Phase 2
 
 ```bash
-GNU gdb (Ubuntu 8.1.1-0ubuntu1) 8.1.1
-Copyright (C) 2018 Free Software Foundation, Inc.
-License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
-This is free software: you are free to change and redistribute it.
-There is NO WARRANTY, to the extent permitted by law.  Type "show copying"
-and "show warranty" for details.
-This GDB was configured as "x86_64-linux-gnu".
-Type "show configuration" for configuration details.
-For bug reporting instructions, please see:
-<http://www.gnu.org/software/gdb/bugs/>.
-Find the GDB manual and other documentation resources online at:
-<http://www.gnu.org/software/gdb/documentation/>.
-For help, type "help".
-Type "apropos word" to search for commands related to "word"...
-Reading symbols from bomb...done.
 (gdb) break phase_2
 Breakpoint 1 at 0x400efc
 (gdb) run < solution.txt 
@@ -232,34 +204,40 @@ Dump of assembler code for function phase_2:
    0x0000000000400f41 <+69>:	pop    %rbp
    0x0000000000400f42 <+70>:	retq   
 End of assembler dump.
-
 ```
 
-### 解題策略
+### :crab: 解題策略
+
 這個 phase 檢查 6 個數字是否符合特定規律。需要理解迴圈結構。
 
-### 解析步驟
+### :crab: 解析步驟
+
 1. **理解輸入**
    - 函數 `read_six_numbers` 會讀取 6 個整數
    - 這些數字存在 stack 上（從 `%rsp` 開始，每個佔 4 bytes）
 
 2. **第一個數字的檢查**
+
 ```assembly
    cmpl   $0x1,(%rsp)    # 比較 (%rsp) 和 1
    je     0x400f30       # 相等就繼續
 ```
+
    → **第一個數字必須是 1**
 
 3. **迴圈邏輯分析**（關鍵部分）
+
 ```assembly
    mov    -0x4(%rbx),%eax    # 取前一個數字
    add    %eax,%eax          # %eax = %eax + %eax（乘以 2！）
    cmp    %eax,(%rbx)        # 比較當前數字和 %eax
 ```
+
    - `add %eax,%eax` 等於把 %eax 乘以 2
    - 每個數字必須是前一個數字的 **2 倍**
 
 4. **驗證推理**
+
 ```bash
    (gdb) x/6d $rsp      # 查看輸入的 6 個數字
    (gdb) ni             # 單步執行
@@ -274,24 +252,9 @@ End of assembler dump.
    - 第 5 個：8 × 2 = 16
    - 第 6 個：16 × 2 = 32
 
-## Phase 3
+## :whale: Phase 3
 
 ```bash
-GNU gdb (Ubuntu 8.1.1-0ubuntu1) 8.1.1
-Copyright (C) 2018 Free Software Foundation, Inc.
-License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
-This is free software: you are free to change and redistribute it.
-There is NO WARRANTY, to the extent permitted by law.  Type "show copying"
-and "show warranty" for details.
-This GDB was configured as "x86_64-linux-gnu".
-Type "show configuration" for configuration details.
-For bug reporting instructions, please see:
-<http://www.gnu.org/software/gdb/bugs/>.
-Find the GDB manual and other documentation resources online at:
-<http://www.gnu.org/software/gdb/documentation/>.
-For help, type "help".
-Type "apropos word" to search for commands related to "word"...
-Reading symbols from bomb...done.
 (gdb) break phase_3
 Breakpoint 1 at 0x400f43
 (gdb) run solution.txt 
@@ -355,15 +318,18 @@ End of assembler dump.
 
 ```
 
-### 解題策略
+### :crab: 解題策略
 這個 phase 使用 switch-case 結構，根據第一個數字決定第二個數字的值。有 8 組可能的答案。
 
-### 解析步驟
+### :crab: 解析步驟
+
 1. **理解輸入格式**
+
 ```bash
 (gdb) x/s 0x4025cf
 0x4025cf: "%d %d"
 ```
+
 - `sscanf` 讀取**兩個整數**
 - 參數準備：
   - `%rdi`：輸入字串（你打的內容）
@@ -372,16 +338,20 @@ End of assembler dump.
   - `%rcx`：第二個整數的儲存位址（`%rsp+12`）
 
 2. **第一個數字的範圍限制**
+
 ```assembly
 cmpl   $0x7,0x8(%rsp)    # 比較第一個數字和 7
 ja     0x400fad          # 如果大於就爆炸
 ```
-→ **第一個數字必須 `<=` 7**（即 0-7）
+
+  → **第一個數字必須 `<=` 7**（即 0-7）
 
 3. **Jump Table 的運作原理**
+
 ```assembly
 jmpq   *0x402470(,%rax,8)
 ```
+
 這是**間接跳躍**，實現 switch-case：
 - `%rax` = 第一個數字（0-7）
 - 計算位址：`0x402470 + %rax * 8`
@@ -401,20 +371,23 @@ jmpq   *0x402470(,%rax,8)
 ```
 
 4. **各個 Case 的結構**
+
 每個 case 都做一樣的事：
 ```assembly
 mov    $某個數字,%eax     # 把期望值放到 %eax
 jmp    0x400fbe          # 跳到共同檢查點
 ```
 
-**共同檢查點：**
+5. **共同檢查點：**
+
 ```assembly
 cmp    0xc(%rsp),%eax    # 比較 %eax 和第二個輸入 (%rsp+12)
 je     0x400fc9          # 相等就通過
 callq  explode_bomb      # 否則爆炸
 ```
 
-5. **找出對應關係**
+6. **找出對應關係**
+
 從組語中可以看到 8 個 case 的期望值（十六進位）：
 
 | Case | 組語位置 | %eax 值（hex） | 轉成十進位 |
@@ -428,5 +401,55 @@ callq  explode_bomb      # 否則爆炸
 | 6    | +92     | 0x2aa         | 682       |
 | 7    | +99     | 0x147         | 327       |
 
+## :whale: Phase 4
+
+```bash
+(gdb) break phase_4
+Breakpoint 1 at 0x40100c
+(gdb) run solution.txt 
+Starting program: /home/simone/WorkSpace/ISLab/CSAPP/bomb/bomb solution.txt
+
+This GDB supports auto-downloading debuginfo from the following URLs:
+  <https://debuginfod.ubuntu.com>
+Enable debuginfod for this session? (y or [n]) y
+Debuginfod has been enabled.
+To make this setting permanent, add 'set debuginfod enabled on' to .gdbinit.
+[Thread debugging using libthread_db enabled]
+Using host libthread_db library "/lib/x86_64-linux-gnu/libthread_db.so.1".
+Welcome to my fiendish little bomb. You have 6 phases with
+which to blow yourself up. Have a nice day!
+Phase 1 defused. How about the next one?
+That's number 2.  Keep going!
+Halfway there!
+1
+
+Breakpoint 1, 0x000000000040100c in phase_4 ()
+(gdb) disassemble
+Dump of assembler code for function phase_4:
+=> 0x000000000040100c <+0>:	sub    $0x18,%rsp
+   0x0000000000401010 <+4>:	lea    0xc(%rsp),%rcx
+   0x0000000000401015 <+9>:	lea    0x8(%rsp),%rdx
+   0x000000000040101a <+14>:	mov    $0x4025cf,%esi
+   0x000000000040101f <+19>:	mov    $0x0,%eax
+   0x0000000000401024 <+24>:	call   0x400bf0 <__isoc99_sscanf@plt>
+   0x0000000000401029 <+29>:	cmp    $0x2,%eax
+   0x000000000040102c <+32>:	jne    0x401035 <phase_4+41>
+   0x000000000040102e <+34>:	cmpl   $0xe,0x8(%rsp)
+   0x0000000000401033 <+39>:	jbe    0x40103a <phase_4+46>
+   0x0000000000401035 <+41>:	call   0x40143a <explode_bomb>
+   0x000000000040103a <+46>:	mov    $0xe,%edx
+   0x000000000040103f <+51>:	mov    $0x0,%esi
+   0x0000000000401044 <+56>:	mov    0x8(%rsp),%edi
+   0x0000000000401048 <+60>:	call   0x400fce <func4>
+   0x000000000040104d <+65>:	test   %eax,%eax
+   0x000000000040104f <+67>:	jne    0x401058 <phase_4+76>
+   0x0000000000401051 <+69>:	cmpl   $0x0,0xc(%rsp)
+   0x0000000000401056 <+74>:	je     0x40105d <phase_4+81>
+   0x0000000000401058 <+76>:	call   0x40143a <explode_bomb>
+   0x000000000040105d <+81>:	add    $0x18,%rsp
+   0x0000000000401061 <+85>:	ret
+End of assembler dump.
+```
+
 ## x86-64 assembly cheat sheet
 - https://web.stanford.edu/class/cs107/resources/x86-64-reference.pdf