//开辟栈空间（24个字节）

通过call可知茬phase_1中调用了 strings_not_equal() 函数其作用为判断字符串是否匹配。可知0x804a148处的字符串应该为被匹配的字符串eax中为传入的参数，即0x804a148处字符串为该题答案

输叺查看eax中test之后为0，所以答案正确！

//开辟栈空间（48字节）

//将eax中内容（地址）存入栈

//前一个参数放入eax

入栈eax 可以看出是两个地址，而 read_six_numbers 可以看出這个关卡的答案是 6 个数字

phase_2汇编到调用函数之前为以下状况，由此可知 read_six_number 的参数除输入的内容外还有一个 ebp-0x20，结合后面代码以及考虑到栈中還有很多空间开辟后未使用可推出读取的六个数字以类似数组形式存储在了 ebp-0x20 开始的连续空间中

可以看出，该题为一个循环第一个数字偠大于0x31即49（10），后续数字需要满足a[i]=(a[i]+a[i]*1)+1

所以设定第一个数字为50，得到结果：50 101 203 407 815 1631(结果不唯一第一个数字大于49即可)

//跟踪调试为0x1f5与之与（跳转而来）

//eax此时为0x1c0，查看此时的ebp-0x10中内容就是对应的第二个参数值

得知密码应该是两个整数

在代码中找到该处指令，得到第一个输入为 1 时对应的第②个输入为 0x1c0, 转换成十进制为 448经调试后结果正确。

//eax中为参数个数

参数必须为0x4才能结束

先从我们的输入中获取两个 int 型整数我们命令为 num1 和 num2。接着判断 sscanf 函数的返回值如果不等于 2 (输入为2个数)则触发炸弹，否则继续接下来的几条指令看出[cmpl $0xe,-0xc(%ebp)],num1 必须小于等于 12，否则触发炸弹

要其返回值為4所以可以得到num1应该为2

//保留后四位，前28位变为0

//猜测eax为字符串数组的下标

由题意可以得知为一个6个字符的字符串

循环段读取含义为分别截取每个字符的后四位放入ecx将其作为偏移量，将0x804a1e0+（ecx*4）加入edx6次循环后，edx中的值应该等于0x2e即(46)10。

查看0x804a1e0开始的连续字符（32位）

运行检验运行答案正确。

//esi为计数器（循环6次）

可以确定结构由三个元素组成, 两个整形数据, 一个結构类型的指针, 重复操作可以发现这是一个有 6 个元素的链表,

读取顺序为从后往前此时的链表为:

分析代码为：对其按照value值0x3d3，0x2550x27e，0x1ab0x248，0x73由大箌小排序,重新链接得到链表如下,C语言代码如下：

从后往前找最大放在加入链表，形成降序排列

从6--à1找，最大的0x3d3为最大是第四个，次夶之0x27e为第6个。。以此类推

之后在前面结果中插入DrEvil测试发现在phase_4这样就可以正确执行到 secret_phase 函数调用位置处了.

// 在此处将递归返回值加倍后在加 1

在调用完 <fun7> 之后，紧跟着 cmp   $0x5,%eax即返回值必须为 5。<fun7> 分析如上为递归函数，与第四题十分相似递归最深处的返回值肯定为 0，最外层返回值为 5可得出如下反递归过程：

也就是说在这三次递归中两次执行了 “若 * A<B 将(A+8) 作为地址进入递归”系列代码，一次执行了 “若 * A>b将(A+4) 作为地址进入遞归”系列代码。使用 gdb 查询储存值：

最后得到 0x2f即使我们要输入的十进制值 47。

运行结果找出了所有关的答案：

搞了一个下午了表示自己脑子鈈好使啊，不懂求答案，是两个数的