燕雙鷹終于輸了,輸在碼農(nóng)做的子彈有BUG,俄羅斯轉(zhuǎn)輪有風(fēng)險(xiǎn)|布爾表達(dá)式和布爾類型
上一篇文章《C語(yǔ)言bool占用4個(gè)字節(jié)?匯編之下無(wú)秘密|帶你看extern》分析在C99標(biāo)準(zhǔn)下bool類型占用1Byte,而不是1bit,C語(yǔ)言 不存在內(nèi)存長(zhǎng)度小于8bit的數(shù)據(jù)類型,思考:
1、如果bool類型高7bit不是0,使用bool類型是否出現(xiàn)匪夷所思的結(jié)果?
2、執(zhí)行if判斷bool類型時(shí),它判斷的是所有8比特?還是最低比特?
接下來(lái)我分享一個(gè)奇特的案例現(xiàn)象,并在從反匯編角度去解釋現(xiàn)象產(chǎn)生原因。
1. 俄羅斯轉(zhuǎn)輪
玩?zhèn)€勇敢者的賭槍游戲——俄羅斯轉(zhuǎn)輪。
左輪手槍彈槽篩入一顆子彈,快速旋轉(zhuǎn)彈槽,合上彈槽,朝著對(duì)方腦袋開(kāi)槍,活下來(lái)的勝利。接下來(lái)友請(qǐng)賭槍游戲必勝客“燕雙鷹”。
燕雙鷹:“我有個(gè)習(xí)慣,會(huì)殺死向自己開(kāi)槍的人,哪怕他的槍里沒(méi)有子彈……”
我:“等等燕大俠,沒(méi)搶、沒(méi)搶。解放了70年咯,1966年在大會(huì)堂玻璃被子彈擊穿事件后,周總理就下達(dá)指令全民禁槍、民眾自愿上繳槍械?!?/span>
燕雙鷹:“那為什么請(qǐng)我出場(chǎng)?”
我:“21世紀(jì)國(guó)家科研、資本家壓榨都講成本,沒(méi)有槍械,可以模擬呀。自動(dòng)駕駛不一定都需要先造車再去馬路上跑,完全能建立3D場(chǎng)景,在游戲虛擬環(huán)境下訓(xùn)練自動(dòng)駕駛算法。同樣賭槍游戲也能模擬。
“子彈放在8bit寄存器里,寄存器相當(dāng)于彈槽,最低比特相當(dāng)于蓄勢(shì)待發(fā)的子彈。下面是游戲的源代碼?!?/span>
傳入0:表示搶里沒(méi)有子彈。
傳入1:表示子彈在第1激發(fā)位置。
傳入2:表示子彈在第2激發(fā)位置。
傳入4:表示子彈在第3激發(fā)位置。
燕雙鷹:“明白,來(lái)~咱們弄點(diǎn)刺激的,隨機(jī)放入2顆子彈如何,編劇從來(lái)沒(méi)允許我在賭搶上輸過(guò)?!?/span>
我:“大俠且慢,暖男郭先生說(shuō)沖動(dòng)是魔鬼,咱們1顆子彈試試水?!?/span>
篩入1顆子彈,子彈落入第2激發(fā)位置,扣動(dòng)扳機(jī),屏幕上顯示“false:燕雙鷹贏”。燕雙鷹臉上漏出招牌式微笑。
下一刻屏幕緊跟著輸出“true:Bang 燕雙鷹你輸了”,燕雙鷹眉頭顯出深深的“川”字紋。
各位看官,你能想到燕雙鷹中彈原因嗎?當(dāng)然,如果你能保證絕對(duì)不會(huì)往布爾類型傳遞0/1以外的值,本文不用繼續(xù)往下讀。
all: @gcc bool-char.c -g @objdump a.out -S > a.dis @./a.out 0 @./a.out 1 @./a.out 2 @./a.out 3
2. 匯編解釋
接下來(lái)解釋燕雙鷹為什么會(huì)輸。
同樣的代碼在x86、ARM、mips架構(gòu)下用gcc編譯,執(zhí)行結(jié)果都一樣,至于匯編我只解釋x86架構(gòu)下的指令。
兩條件表達(dá)式的匯編都差不多,唯一區(qū)別是第一條多一個(gè)異或指令。
movzbl -0x9(%rbp),%eax:以4Byte方式載入數(shù)據(jù)到eax寄存器,eax是32bit寄存器,eax存儲(chǔ)的是彈槽子彈位置。
test %al, %al:al寄存器的值和它自己“與”操作,al是eax的低8bit寄存器。只要al寄存器8bit不全為0,則返回真。
test指令和and指令都是執(zhí)行“與”操作,不過(guò)test指令會(huì)影響3個(gè)標(biāo)志位:SF(執(zhí)行后數(shù)據(jù)的正負(fù))、ZF(執(zhí)行后結(jié)果是否為0)、PF(執(zhí)行后二進(jìn)制1的個(gè)數(shù)是否為偶數(shù)),and指令不會(huì)修改他們, 本文關(guān)注的是ZF標(biāo)志位。
xor $0x1,%eax:僅對(duì)eax寄存器的最低比特執(zhí)行異或。
C代碼“if(!a)”的感嘆號(hào)“!”被編譯器翻譯成xor和test的組合。注意到了嗎,只要eax不是0或1,兩條指令都會(huì)執(zhí)行。
2.1. 執(zhí)行if(!a)
如果eax=0x00,則xor結(jié)果eax=0x01;test返回真
如果eax=0x01,則xor結(jié)果eax=0x00;test返回假
如果eax=0x02,則xor結(jié)果eax=0x03;test返回真
2.2. 執(zhí)行if(a)
如果eax=0x00,test返回假
如果eax=0x01,test返回真
如果eax=0x02,test返回真
3. 小白才寫(xiě)得出的代碼
看官或許會(huì)想:“正常情況誰(shuí)會(huì)這么寫(xiě)例子上的垃圾代碼,往bool傳遞0/1以外的數(shù)據(jù),八成是作者為了水文章瞎弄文案?!?/span>
“No No No。”
6年前我曾今寫(xiě)過(guò)一個(gè)C函數(shù),函數(shù)需要傳遞bool類型“指針”。在同事眼里:“布爾類型嘛,懂~,老熟人咯?!?/span>
于是,他強(qiáng)制轉(zhuǎn)換char為bool,向我的函數(shù)傳遞變量指針。
絕大多數(shù)C語(yǔ)言學(xué)習(xí)者的實(shí)操平臺(tái)要么是Keil C51、要么是Trubo C,兩個(gè)編譯環(huán)境都使用C89標(biāo)準(zhǔn),按照C89的套路,bool類型通常都是重新定義char得來(lái)(typedef char bool),殊不知bool類型已經(jīng)被C99正式收編,GCC也給它名份,成了C語(yǔ)言家族的第9房小妾(其他妻妾包括char、short、int、long、float、double、void、指針)。
void fun(bool *a){ if (!*a) { printf("false\r\n"); } if (*a) { printf("true\r\n"); }}int main(int argc, char **argv) { char in = 2; fun((bool*)&in); return 0;}
若同事規(guī)規(guī)矩矩的向布爾類型賦值0(false)或1(true)還好,可誰(shuí)曾想到他某次傳遞一個(gè)2進(jìn)去,一個(gè)表達(dá)式憑什么既可能是true、也同時(shí)是false呢?
$ ./a.out falsetrue
猜測(cè)同事把布爾類型和布爾表達(dá)式搞混了:
布爾類型:只觀察最低比特。
布爾表達(dá)式:非0即是真。
4. 指令修改
從匯編角度來(lái)說(shuō),如果“test %al, %al”能改成“test %0x1, %al”就沒(méi)有匪夷所思的問(wèn)題了,如此一來(lái)應(yīng)該會(huì)降低CPU的效率,畢竟執(zhí)行指令還需要一個(gè)立即數(shù),我沒(méi)搞過(guò)編譯器也沒(méi)設(shè)計(jì)過(guò)CPU,純屬瞎猜,能搞編譯器的家伙都是大牛的存在,咱們吃瓜的參合個(gè)啥!