• 概要
• 主な登場人物
• 決戦結線の時
  • JTAG ⇔ C232HM-DDHSL-0
  • UART ⇔ TTL-232RG-VREG3V3-WE
  • 接続イメージ
• ソフトウエアの設定
  • openocdをインストールする
  • Raspberry Pi 側でJTAGインターフェイスを有効化する
  • ついでにシリアルポート出力とかも有効化しておく
  • 参考: 私のconfig.txtの末尾はこうなっている
• openocdの設定
  • インターフェイスの設定
  • ターゲットの設定
• 動かしてみる
  • openocdとのやりとり
• gdbとあわせて使う
• 付録: openocdがうまくいかないとき

概要

Raspberry Piでベアメタルプログラミングをするときに、CPUが今実際にどこの命令を実行しているか、メモリ上にどのような値が存在するか…などの情報を確認できると、デバッグが非常に楽になります。それを可能にしてくれるのが、JTAGというインターフェイスです。

今回は、FTDI社製のケーブルを使用して、Raspberry Pi 4のJTAGにアクセスしてみました。前半部分はケーブル固有の話もあるので、他のJTAGケーブルをお持ちの方は、それぞれのマニュアルを参照して適宜読み替えていただく必要があります。一方後半部分は、openocdを使ってJTAG経由でRaspberry Pi 4の情報を取得する一般的な方法について説明しますので、みなさんの環境でも役立つかもしれません。参考にしていただければ幸いです。

主な登場人物

• Raspberry Pi 4 Model B
  • BCM2711というSoCが載っています。
• FTDI C232HM-DDHSL-0
  • このケーブルはMPSSE(Multi-Protocol Synchronous Serial Engine) といって、モードを切り替えればJTAG以外にもSPIやI2Cといった通信もできるようです。
  • C232HM-DDHSL-0とC232HM-EDHSL-0の違いは、通信に使う電圧レベルです(3.3Vと5.0V)。Raspberry PiのGPIOは3.3Vなので、間違えないようにしましょう。
• FTDI TTL-232RG-VREG3V3-WE
  • このケーブルはJTAG通信には関係ないですが、Raspberry PiのUART（シリアルポート）を読むために使っています。ベアメタルプログラミングするなら、基本的にシリアルは生命線になるので、シリアルを読めるケーブルは何らかのものを持っておくとよいと思います。
  • 例によって、これも電圧レベルによって似た品番のものがあるので、他の変換ケーブルやボードを使う際も、3.3Vのものを買うようにしましょう。
  • ちなみにこのケーブルは末端が電線剥き出しでコネクタがついてないので、私はそれをブレッドボードに刺してそこからRasPiに延ばしています。コネクタがついているタイプのものも他の製品だとあるようなので、そっちを買った方が便利かもしれません。

決戦結線の時

というわけで早速ケーブルとRasPiをつないでゆきます。RasPiの電源を落としてから作業しましょう。

落とし穴としては、RasPiのGPIOピンの番号と、物理ピン番号（GPIOヘッダ上の位置）は異なる、というところです。

詳しくはRaspberry Pi 公式のドキュメントに解説があるので、それをチェックしてください。

（以下はあくまでも参考として、鵜呑みにせずに自分で本当に合っているかチェックしながら接続してください！）

JTAG ⇔ C232HM-DDHSL-0

ケーブル自体のデータシートも参考にしてください。

RTCKを使わない記事もインターネット上にはありましたが、これをつなぐと通信が格段に安定したのでこのようにしています。

UART ⇔ TTL-232RG-VREG3V3-WE

ケーブル自体のデータシートも参考にしてください。

接続イメージ

全部つないでみたときの参考写真を貼っておきました。（写真の向きは、GPIOヘッダを左上にみたときの例なので、上の説明と対応させる場合は、90度首を傾けてみてください。）

シリアル変換ケーブルから伸びている線は、写真上側のブレッドボードでジャンパワイヤに変換されてきているので、上の説明に書かれている色と、写真中の線の色は一致しません。

画面左側、JTAGアダプタから伸びている線の色は、上に書いてある説明と一致します。

ソフトウエアの設定

今回の環境は macOS 11.4ですが、Linuxなどの他の環境でも、似たような設定をすれば動作するはずです。

openocdをインストールする

最新のopenocdをHomebrew経由でインストールします。

brew install openocd --HEAD

私の環境では、以下のようなエラーメッセージが出ました。

$ brew install openocd --HEAD
...
==> Installing open-ocd --HEAD
==> ./bootstrap nosubmodule
==> ./configure --prefix=/usr/local/Cellar/open-ocd/HEAD-cff0e41 --enable-buspir
==> make install
Error: An unexpected error occurred during the `brew link` step
The formula built, but is not symlinked into /usr/local
Cannot link open-ocd
Another version is already linked: /usr/local/Cellar/open-ocd/0.10.0
Error: Cannot link open-ocd
Another version is already linked: /usr/local/Cellar/open-ocd/0.10.0

このエラーは、すでに他のバージョンのopenocdがインストールされている場合に表示されます。この場合、インストールした最新のopenocdにはPATHが通っていない状態になっていますので、パスを直接指定して実行してあげる必要があります。（もちろん、強制的にPATHを通す(link)することも可能ですが、各自の判断にお任せします。）

私の環境では、/usr/local/Cellar/open-ocd/HEAD-cff0e41/bin/openocdにインストールされていましたので、これを直接実行できることを確認します。

$ /usr/local/Cellar/open-ocd/HEAD-cff0e41/bin/openocd --version
Open On-Chip Debugger 0.11.0+dev-00236-gcff0e417d-dirty (2021-06-28-20:42)
Licensed under GNU GPL v2
For bug reports, read
    http://openocd.org/doc/doxygen/bugs.html

バージョン情報が正しく表示されればOKです。

Raspberry Pi 側でJTAGインターフェイスを有効化する

デフォルトでは、JTAGインターフェイスは無効になっており、該当するピンは通常のGPIOポートとして機能するように設定されています。

JTAGを有効化するには、Raspberry PiのSDカード内にある config.txtというファイルの[all]セクションの配下に、以下のような記述を追加します。

enable_jtag_gpio=1

これにより、起動時にRaspberry Piのファームウエアがこの設定ファイルを読み込んだ際に、JTAGを有効化してくれます。

詳しくは、公式のドキュメントを参照してください。

• Raspberry Pi Documentation - Configuration
• Raspberry Pi Documentation - Configuration

ついでにシリアルポート出力とかも有効化しておく

enable_uart=1

参考: 私のconfig.txtの末尾はこうなっている

他にもいろいろ設定を入れてこんな感じになっています。参考までに。（この記事で解説したことを試すには、上で説明した2つを設定するだけで大丈夫なはずです。）

...
[all]
#dtoverlay=vc4-fkms-v3d
arm_64bit=1
init_uart_clock=48000000
init_uart_baud=115200
enable_uart=1
enable_jtag_gpio=1

openocdの設定

それでは早速openocdを使っていきたいのですが、使うためにはいくつか設定ファイルを作成する必要があります。

インターフェイスの設定

まず、以下のような内容のファイルを作成しc232hm-edhsl-0.cfgという名前で保存します。

adapter driver ftdi
ftdi_vid_pid 0x0403 0x6014
ftdi_device_desc C232HM-DDHSL-0

# ftdi_layout_init <values> <directions>
# initial value:
# 0078 = 0000 0000 0001 1000
# TRST, TMS=1, all others zero
# initial direction:
# 0111 = GPIOL3=RTCK=input, GPIOL2=dontcare=output, GPOL1=SRST=output, GPIOL0=TRST=output
# 1011 = [1=TMS=output, 0=TDO=input, 1=TDI=output, 1=TCK=output]
ftdi_layout_init 0x0018 0x007b

# GPIOL0 is TRST
ftdi_layout_signal nTRST -data 0x0010

（参考にしたブログ記事 のものに比べると、最新のopenocdに合わせて少し修正してあります。）

このファイルには、使用するJTAGアダプタ（今回の場合はFTDI C232HM-DDHSL-0）に固有の設定が記載されています。そのため、別のJTAGアダプタを使用する際は、それに合ったファイルを作成する必要があります。場合によっては標準で提供されていることもあるので、他のアダプタをお使いの方は各自で調べてみてください。

ターゲットの設定

次に、以下のような内容のファイルを作成しraspi4.cfgという名前で保存します。

set _CHIPNAME bcm2711
set _DAP_TAPID 0x4ba00477

adapter speed 1000

transport select jtag
reset_config trst_and_srst

telnet_port 4444

# create tap
jtag newtap auto0 tap -irlen 4 -expected-id $_DAP_TAPID

# create dap
dap create auto0.dap -chain-position auto0.tap

set CTIBASE {0x80420000 0x80520000 0x80620000 0x80720000}
set DBGBASE {0x80410000 0x80510000 0x80610000 0x80710000}

set _cores 4

set _TARGETNAME $_CHIPNAME.a72
set _CTINAME $_CHIPNAME.cti
set _smp_command ""

for {set _core 0} {$_core < $_cores} { incr _core} {
    cti create $_CTINAME.$_core -dap auto0.dap -ap-num 0 -baseaddr [lindex $CTIBASE $_core]

    set _command "target create ${_TARGETNAME}.$_core aarch64 \
                    -dap auto0.dap  -dbgbase [lindex $DBGBASE $_core] \
                    -coreid $_core -cti $_CTINAME.$_core"
    if {$_core != 0} {
        set _smp_command "$_smp_command $_TARGETNAME.$_core"
    } else {
        set _smp_command "target smp $_TARGETNAME.$_core"
    }

    eval $_command
}

eval $_smp_command
targets $_TARGETNAME.0

（こちらも、参考にした記事をベースに、最新のopenocdに合わせて少し修正を加えたものになります。）

このファイルには、デバッグ対象のデバイス（今回の場合はRaspberry Pi 4 / BCM2711）に固有の設定が記載されています。そのため、もし異なるボードをJTAGデバッグしたい場合には、それぞれに合ったファイルを作成して使用する必要があります。

動かしてみる

では、編集済みのconfig.txtが入ったRaspberry Pi OS入りのSDカードをRaspberry Pi 4に挿入し、JTAGケーブルやシリアル変換ケーブルをPCにさして、最後にRaspberry Pi 4に電源をさして起動してみましょう。その後、以下のコマンドを実行してみてください。

/usr/local/Cellar/open-ocd/HEAD-cff0e41/bin/openocd -f c232hm-edhsl-0.cfg -f raspi4.cfg

(最初のopenocdへのパスは、適宜環境に合わせて読みかえてください。)

すべてが正しく動作していれば、以下のような出力が得られ、サーバーが待受状態になります。

$ /usr/local/Cellar/open-ocd/HEAD-cff0e41/bin/openocd -f c232hm-edhsl-0.cfg -f raspi4.cfg
Open On-Chip Debugger 0.11.0+dev-00236-gcff0e417d-dirty (2021-06-28-20:42)
Licensed under GNU GPL v2
For bug reports, read
    http://openocd.org/doc/doxygen/bugs.html
Info : Listening on port 6666 for tcl connections
Info : Listening on port 4444 for telnet connections
Info : clock speed 1000 kHz
Info : JTAG tap: auto0.tap tap/device found: 0x4ba00477 (mfg: 0x23b (ARM Ltd), part: 0xba00, ver: 0x4)
Info : bcm2711.a72.0: hardware has 6 breakpoints, 4 watchpoints
Info : bcm2711.a72.1: hardware has 6 breakpoints, 4 watchpoints
Info : bcm2711.a72.2: hardware has 6 breakpoints, 4 watchpoints
Info : bcm2711.a72.3: hardware has 6 breakpoints, 4 watchpoints
Info : starting gdb server for bcm2711.a72.0 on 3333
Info : Listening on port 3333 for gdb connections

openocdとのやりとり

参考:

• https://metebalci.com/blog/bare-metal-raspberry-pi-3b-jtag/
• General Commands (OpenOCD User’s Guide)

上の出力に書かれている通り、telnetなどで4444番ポートにアクセスすると、openocdとおはなしできます。

$ telnet localhost 4444
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Open On-Chip Debugger
> 

ここにコマンドを打つと、いろいろ見れます。

targets: 各ターゲット(今回の場合CPUコア)を一覧表示できる

> targets
    TargetName         Type       Endian TapName            State       
--  ------------------ ---------- ------ ------------------ ------------
 0* bcm2711.a72.0      aarch64    little auto0.tap          running
 1  bcm2711.a72.1      aarch64    little auto0.tap          running
 2  bcm2711.a72.2      aarch64    little auto0.tap          running
 3  bcm2711.a72.3      aarch64    little auto0.tap          running

targets bcm2711.a72.1のように、TargetNameを指定すれば、現在選択しているtargetを変更できる。

halt: 実行を停止させる。

> halt
bcm2711.a72.1 cluster 0 core 1 multi core
bcm2711.a72.2 cluster 0 core 2 multi core
bcm2711.a72.2 halted in AArch64 state due to debug-request, current mode: EL2H
cpsr: 0x000003c9 pc: 0x80
MMU: disabled, D-Cache: disabled, I-Cache: disabled
bcm2711.a72.3 cluster 0 core 3 multi core
bcm2711.a72.3 halted in AArch64 state due to debug-request, current mode: EL2H
cpsr: 0x000003c9 pc: 0x80
MMU: disabled, D-Cache: disabled, I-Cache: disabled
bcm2711.a72.0 cluster 0 core 0 multi core
bcm2711.a72.0 halted in AArch64 state due to debug-request, current mode: EL2H
cpsr: 0x600003c9 pc: 0x813d8
MMU: disabled, D-Cache: disabled, I-Cache: disabled
bcm2711.a72.1 halted in AArch64 state due to debug-request, current mode: EL2H
cpsr: 0x000003c9 pc: 0x80
MMU: disabled, D-Cache: disabled, I-Cache: disabled
> targets
    TargetName         Type       Endian TapName            State       
--  ------------------ ---------- ------ ------------------ ------------
 0  bcm2711.a72.0      aarch64    little auto0.tap          halted
 1* bcm2711.a72.1      aarch64    little auto0.tap          halted
 2  bcm2711.a72.2      aarch64    little auto0.tap          halted
 3  bcm2711.a72.3      aarch64    little auto0.tap          halted

reg: レジスタを表示する

> reg                  
===== Aarch64 registers
(0) x0 (/64): 0x000000000000006c (dirty)
(1) x1 (/64): 0x00000000ffffffff
(2) x2 (/64)
...

dirtyと書かれているデータは、openocdがキャッシュしているものなので、もし生の値を反映させたかったら、以下のようにすると強制的に読み書きできる。

reg x0 force

キャッシュ情報とかも見れます

> aarch64 cache_info
L1 I-Cache: linelen 64, associativity 3, nsets 256, cachesize 48 KBytes
L1 D-Cache: linelen 64, associativity 2, nsets 256, cachesize 32 KBytes
L2 D-Cache: linelen 64, associativity 16, nsets 1024, cachesize 1024 KBytes

メモリの読み書きもできちゃいます！たとえば0x80000（raspberry pi 4におけるカーネルのロードアドレス）をみると

>  mdw 0x80000
0x00080000: d53800a1

と書いてありますが、今回起動したイメージの先頭を確認してみると

$ hexdump -C kernel8.img | head -n 1
00000000  a1 00 38 d5 21 04 40 92  42 01 00 58 3f 00 02 eb  |..8.!.@.B..X?...|

たしかに一致していますね！

gdbとあわせて使う

参考: GDB and OpenOCD (OpenOCD User’s Guide)

openocdの起動時のメッセージを注意深く読むと、gdbのサーバーも待ち受けていることがわかります。

Info : starting gdb server for bcm2711.a72.0 on 3333
Info : Listening on port 3333 for gdb connections

ということで、さっそくつないでみましょう。今回使ったgdbのバージョンは以下の通り。

$ gdb --version | head -n 1
GNU gdb (GDB) 9.2

まず、gdbを引数なしで起動します。

gdb

そのあと、gdbのプロンプトに、アーキテクチャとターゲット情報を打ち込んで、リモートデバッグをはじめます。

私が試した例では、config.txtにarm_64bit=1と書いた状態でaarch64のバイナリを実行している状態なので、以下のようにaarch64をターゲットとして指定します。

(gdb) set architecture aarch64
The target architecture is assumed to be aarch64
(gdb) target extended-remote localhost:3333
Remote debugging using localhost:3333
warning: No executable has been specified and target does not support
determining executable automatically.  Try using the "file" command.
0x00000000000813d8 in ?? ()

一方、Raspberry Pi OSは記事執筆現在は32bit(armv7l)で動作しているので、もしそのようなターゲットをデバッグしたい場合は、aarch64の代わりにarmv8-aにするとよいでしょう。

set architecture armv8-a
target extended-remote localhost:3333

もし間違ったarchを指定していたら、以下のようなエラーメッセージが出るので、そのときは別のarchを指定してやり直せばOKです。

warning: Selected architecture armv8-a is not compatible with reported target architecture aarch64
warning: Architecture rejected target-supplied description

さて、これでgdbがつながったので、デバッグし放題です。いつものinfo registersとかもばっちり動きます。

(gdb) info registers
x0             0x0                 0
x1             0x8192d             530733
x2             0x2                 2
x3             0x80264             524900
...

もちろん、今実行しているバイナリが手元にあれば、それを読み込んでgdbでデバッグすることもできます。

$ file target/aarch64-unknown-none-softfloat/release/kernel
target/aarch64-unknown-none-softfloat/release/kernel: ELF 64-bit LSB executable, ARM aarch64, version 1 (SYSV), statically linked, with debug_info, not stripped

$ gdb target/aarch64-unknown-none-softfloat/release/kernel
GNU gdb (GDB) 9.2
...
(gdb) target extended-remote localhost:3333
Remote debugging using localhost:3333
0x00000000000813d8 in kernel::kernel_main ()
(gdb) disas
Dump of assembler code for function _ZN6kernel11kernel_main17h947565f396a80a38E:
   0x0000000000080fd4 <+0>:   sub sp, sp, #0xc0
   0x0000000000080fd8 <+4>:   stp x30, x27, [sp, #112]
(gdb) c
Continuing.

loadコマンドをつかえば、バイナリを動的にメモリ上にロードすることだってできちゃいます。

(gdb) load
Loading section .text, size 0x1674 lma 0x80000
Loading section .rodata, size 0x4c5 lma 0x81678
Loading section .got, size 0x10 lma 0x81b40
Loading section .data, size 0x20 lma 0x81b50
Start address 0x0000000000080000, load size 7017
Transfer rate: 63 KB/sec, 1754 bytes/write.

raspberry piのJTAGインターフェイスにはSRSTピンが生えていないため、gdbのmonitor resetコマンドを利用してチップをリセットしてロードしたプログラムを再実行させることはできませんが、プログラムカウンタ(pc)を変更することはできるので、代わりに使うといいかもしれません。

(gdb) set $pc=0x80000
(gdb) c

というわけで、とっても便利なJTAGを活用して、皆様も楽しいRasPiベアメタル開発の時間をお過ごしください！

付録: openocdがうまくいかないとき

Error: no device found
Error: unable to open ftdi device with vid 0403, pid 6014, description 'C232HM-DDHSL-0', serial '*' at bus location '*'

→そもそもJTAGアダプタがPCにつながっていない/認識されていない。

Error: JTAG scan chain interrogation failed: all ones
Error: Check JTAG interface, timings, target power, etc.
Error: Trying to use configured scan chain anyway...
Error: auto0.tap: IR capture error; saw 0x0f not 0x01
Warn : Bypassing JTAG setup events due to errors
Error: Invalid ACK (7) in DAP response
Error: JTAG-DP STICKY ERROR

→デバッグ対象のデバイスの電源が入っていない/まだ起動直後でJTAGが有効化されてない/配線が間違っている/enable_jtag_gpio=1の設定変更が正しく反映されていない。

概要

今年も例年のように、チームHarekazeの一員として出ました。チームの結果は2123点で11位/579チーム（何らかのFLAGを提出したチーム数）でした。 そのうち、私はSCSBX:Reversingを解いて129ポイントを稼ぎました。(st98さんが一人で1552ポイントも稼いでおり目を回しています。)

あと、同じSCSBXをテーマにしたSCSBX:Escapeや、脆弱なkernel moduleの秘孔を突くkstackという問題にも挑戦しましたが、時間内に解くまでにはいたりませんでした。

ということで、挑戦した各問題の解法 or 挑戦のようすを書いておきます。

SCSBX:Reversing

ソースコードの公開された独自のバイトコード処理系と、それ向けに書かれたアプリケーションのバイナリが与えられています。 そのアプリケーションは、入力がフラグであるか否かを教えてくれるものでした。

$ ./scsbx seccon.bin 
FLAG: hogehoge
Wrong!!

ということで、その処理をみてみれば、どのような入力が期待されているのか、つまりフラグがわかりそうです。ということで、読んでいきましょう。

VMのソースコードを読んでみる

ファイルとしてはこんな感じ。

$ ls
Makefile          instr_logic.cpp  main.cpp
instr_arith.cpp   instr_mem.cpp    scsbx.cpp
instr_branch.cpp  instr_sys.cpp    scsbx.hpp

C++で書かれているんですねー。たとえば、scsbx.cppの中をみてみると、

void SCSBX::__cpu_exec(u8 instr)
{
  u32 val;

  switch(instr) {
    /* Memory Operation */
  case INS_PUSH:
    val = *(u32*)(&code[pc+1]);
    __stack_push(val);
    pc += 4;
    break;
  case INS_POP:
    __stack_pop();
    break;
  case INS_DUP:
    __stack_dup();
    break;
  case INS_XCHG:
    __stack_xchg();
    break;
  case INS_LOAD32:
    __mem_load32();
    break;
  case INS_LOAD64:
    __mem_load64();
    break;
  case INS_STORE8:
    __mem_store8();

という感じで、非常に素直に書かれています。

また、DOCS.md というファイルも含まれていたのでみてみると、命令形式についての説明やメモリレイアウトについても書かれていました。めっちゃ親切。

### Instruction
Every instruction except for `push` is 1-byte long.
`push` accepts a 4-byte value to push into the stack.
**SCSBX is proudly open-sourced!**
Check the source code for more details.

0x00000000 +-------------------+
           |                   |
           |     Free Space    |
0x55540000 +-------------------+
           | Machine Code (R-) |
           +-------------------+
           |                   |
           |     Free Space    |
           |                   |
0xfffe0000 +-------------------+
           |     Stack (RW)    |
0xffff0000 +-------------------+  ^^^ user-space ^^^
           |  Guard Page (--)  |
0xffffffff +-------------------+  vvv  VM-space  vvv
           |    VM instance    |
           |        ...        |

とりあえず、PUSH命令以外はすべて1バイトのスタックマシンということがわかったので、さくっとディスアセンブラを書きます。というか、VMのソースコードを改造して、オプションを渡したらdisasしてくれるようにしました。その出力がこちら。

$ ./scsbx ../seccon.bin -d
00000000: 20 00001000: push
00000005: 20 DEAD0000: push
0000000A: 62: map
0000000B: 20 00000256: push
00000010: 34: call
00000011: 20 0000020A: push
00000016: 34: call
00000017: 20 47414C46: push
0000001C: 20 DEAD0004: push
00000021: 28: store32
00000022: 20 0000203A: push
00000027: 20 DEAD0008: push
0000002C: 27: store16
0000002D: 20 00000006: push
00000032: 20 DEAD0004: push
00000037: 61: write
00000038: 20 00000040: push
0000003D: 20 DEAD000A: push
00000042: 60: read
00000043: 20 00000008: push
00000048: 20 0000010E: push
...

やっぱりスタックマシンだし長いですね。というわけで、じっとこれを見つめてデコンパイラごっこをします。

私なりのやり方としては、大体以下のような手順を踏みました。

1. 分岐命令を境に、命令列をブロックに分ける。
2. 上から辿っていって何をやっているかお気持ちを理解する
3. 複雑な部分では、スタックを書いて追いながらロジックを推定する

たとえばこんな感じに、スタックの使われ方を書いていったり、

<check_loop()>
/*
[0] k
[1] v
*/
00000135: 20 00000000: push
0000013A: 22: dup
0000013B: 20 00000001: push
00000140: 20 00000001: push
00000145: 23: xchg
00000146: 41: sub
/*
[0] k - 1
[0] k
[1] v
*/
00000147: 20 00000008: push
0000014C: 42: mul
/*
[0] (k - 1) * 8
[0] k
[1] v
*/
0000014D: 20 DEAD000A: push
00000152: 40: add
/*
[0] (k - 1) * 8 + 0xDEAD000A
[0] k
[1] v
*/

...（省略）

00000183: 20 00000001: push
00000188: 23: xchg
/*
[2] k
[0] v | (*p - *q) | (*(p + 4) - *(q + 4))
*/
00000189: 20 00000001: push
0000018E: 20 00000001: push
00000193: 23: xchg
00000194: 41: sub
/*
[2] k - 1
[0] v | (*p - *q) | (*(p + 4) - *(q + 4))
*/

これを元にC言語ベースの擬似コードに落とし込んだりしてみました。

int main(int argc, char *argv) {
  // 00000000
  // map [DEAD0000 - DEAD1000)
  InitEncFlag();
  // 0000020A
  *(uint32_t *)&mem[0] = 0x06D35BCD;
  // 00000017
  // read 0x40 bytes into *0xDEAD000A
  strncpy(&mem[0xA], "SECCON{[\x20-\x7e]+}", 0x40);
  uint32_t i = 8; // pushed at +00000043
  // 0000010E
  // [] i
  while(i) {
    // 0000004E
    // 000000DD
    // Stack after 00000097
    // []: *((8-i) * 8 + 0xDEAD000E) = v1
    // []: *(8-i) * 8 + 0xDEAD000A) = v2
    // []: (8-i) * 8 + 0xDEAD000A
    // []: (8-i) * 8 + 0xDEAD000E
    // []: i
    uint32_t v1 = *((8-i) * 8 + 0xE + mem);
    uint32_t v2 = *((8-i) * 8 + 0xA + mem);
    uint32_t p = 3; // pushed at +00000098
    // 000000DD
    while(p) {
      // 000000A3
      // []: p
      // []: v1
      // []: v2
      p--;
      uint32_t c = v2;
      v2 = v1;
      v1 = random_num(v1) ^ c;
    }
    // 000000F3
    // []: p
    // []: v1
    // []: v2
    // []: (8-i) * 8 + 0xDEAD000A
    // []: (8-i) * 8 + 0xDEAD000E
    // []: i
    *((8-i) * 8 + 0xE + mem) = v1;
    *((8-i) * 8 + 0xA + mem) = v2;
    i--;  // 00000102 - 0000010D
    // 0000010E
  };
  // check if flag_buf is same as flag_encrypted
  ...
}

さて、デコンパイラの気持ちを理解したところで、このプログラムは大体以下のような処理を行っていることがわかりました。

1. 作業用のメモリ領域[0xDEAD0000 - 0xDEAD1000)をmapする
2. そのメモリ領域に符号化されたフラグを展開する(0xDEAD004A から0x40バイト)
3. 0xDEAD0000番地に値0x06D35BCDを格納する（おそらく何らかのシード値、後のロジックで使われる）
4. ユーザーからの入力を受け取る(0x40バイト、これは0xDEAD000A番地から0x40バイトの空間に格納される)
5. 上の擬似コードに書いたような処理を行って、ユーザーからの入力を符号化する
6. 符号化した入力(0xDEAD000Aからの0x40バイト)と、展開しておいた符号化済みのフラグ値(0xDEAD004Aからの0x40バイト)を比較する
7. それらが一致したらCorrect, 一致しなければWrong!!と出力して終了する

さて、肝心のstep5の処理ですが、擬似コードとしてはこんな感じです。(enc()がその処理)

uint32_t random_num(uint32_t v) {
  // 00000216
  uint32_t *dead0000 = (uint32_t *)&mem[0];
  *dead0000 = (*dead0000 * 0x77F - 0x32A) % 0x0x305EB3EA;
  return ~(v ^ *dead0000);
}
void enc() {
  uint32_t i = 8; // pushed at +00000043
  // 0000010E
  while(i) {
    // 0000004E
    // 000000DD
    uint32_t v1 = *((8-i) * 8 + 0xE + mem);
    uint32_t v2 = *((8-i) * 8 + 0xA + mem);
    uint32_t p = 3; // pushed at +00000098
    // 000000DD
    while(p) {
      // 000000A3
      p--;
      uint32_t c = v2;
      v2 = v1;
      v1 = random_num(v1) ^ c;
    }
    // 000000F3
    *((8-i) * 8 + 0xE + mem) = v1;
    *((8-i) * 8 + 0xA + mem) = v2;
    i--;  // 00000102 - 0000010D
    // 0000010E
  }
}

要するに、8バイトを1セットとして符号化するのを8回くりかえすことで、8*8 = 64 = 0x40バイトの領域を符号化しているわけです。 また、random_num()と仮においた処理は、0xDEAD0000番地のメモリ内容という状態を持っているため、呼び出しには副作用があります。 とはいえ、基本的にやっていることは、その8バイトの中で前後4バイトずつの部分をxorしているだけで、入力と出力は各桁ごとに独立に変化します。 結局、random_num()の状態に注意しつつ、8バイトずつのセットの各文字を順に確定させてゆけば、フラグがわかりそうです。（これなら最大でも256 * 8 * 8通り調べればいけますね。）

というわけで、このアイディアをかんたんなC言語のプログラムに落とし込みました。

#include <stdint.h>
#include <stdio.h>

uint32_t dead0000 = 0x06D35BCD;

uint32_t random_num(uint32_t v) {
  // 00000216
  dead0000 = (dead0000 * 0x77F - 0x32A) % 0x305EB3EA;
  return ~(v ^ dead0000);
}

uint64_t enc(uint64_t v) {
  uint32_t v1 = v >> 32;
  uint32_t v2 = v;
  uint32_t p = 3;  // pushed at +00000098
  while (p) {
    p--;
    uint32_t c = v2;
    v2 = v1;
    v1 = random_num(v1) ^ c;
  }
  return ((uint64_t)v1 << 32) | v2;
}

uint8_t mem[64];

void InitEncFlag() {
  // 00000256
  *(uint32_t *)&mem[4 * 0x0] = 0x46761223;
  *(uint32_t *)&mem[4 * 0x1] = 0x54BEA5C5;
  *(uint32_t *)&mem[4 * 0x2] = 0x7A22E8F6;
  *(uint32_t *)&mem[4 * 0x3] = 0x5DB493C9;
  *(uint32_t *)&mem[4 * 0x4] = 0x055D175E;
  *(uint32_t *)&mem[4 * 0x5] = 0x022FCD33;
  *(uint32_t *)&mem[4 * 0x6] = 0x42C46BE6;
  *(uint32_t *)&mem[4 * 0x7] = 0x6D10A0E8;
  *(uint32_t *)&mem[4 * 0x8] = 0x53F4C278;
  *(uint32_t *)&mem[4 * 0x9] = 0x7279EC2A;
  *(uint32_t *)&mem[4 * 0xA] = 0x5491FB39;
  *(uint32_t *)&mem[4 * 0xB] = 0x49AC421F;
  *(uint32_t *)&mem[4 * 0xC] = 0x49AB3A37;
  *(uint32_t *)&mem[4 * 0xD] = 0x47855812;
  *(uint32_t *)&mem[4 * 0xE] = 0x5718BB05;
  *(uint32_t *)&mem[4 * 0xF] = 0x0540FB5B;
}

int main(int argc, char *argv[]) {
  InitEncFlag();
  char buf[64 + 1] = "SECCON{........";

  for (int i = 0; i < 8; i++) {
    for (int k = 0; k < 8; k++) {
      for (char c = 0x20; c <= 0x7E; c++) {
        buf[k] = c;
        uint32_t prev_dead0000 = dead0000;
        uint64_t e = enc(*(uint64_t *)buf);
        uint8_t *p = (uint8_t *)&e;
        dead0000 = prev_dead0000;
        if (p[k] == mem[k + i * 8]) {
          break;
        }
      }
    }
    uint64_t e = enc(*(uint64_t *)buf);
    printf("%.8s", buf);
  }

  return 0;
}

気をつけるべき点は、forの中でencを実行する際に、毎回dead0000の内容を戻しているところですね。（少し冗長ですが色々ためしていたせいである。）

というわけで、以下のような出力を得ました。

$ ./solve2 
SECCON{TfuRYYVaz8Us696t3JWNxZZPsXEmdL7cCmgzpgxXKarUOnIwhSj9tQ}~~

SECCON{の後にはTがきそう（きっと英語のメッセージ的にTheとかがきそうだから）と思っていて、最初の8桁だけ試してTがでてきてわーいと思っていたのですが、全部出してみたら乱数フラグでちょっと意外でした。（ちゃんと通ってほっとした。）

追記

このアルゴリズムはFeistel構造と呼ばれるものらしい。

ja.wikipedia.org

SCSBX:Escape

ところでこのSCSBX(SecCon SandBoX), reversingだけでなくsandboxの問題としても登場していました。

こちらは、リモートで動いているSCSBXにいい感じのバイナリを送りつけて、思い通りの動きをさせてshellをゲットしような！という問題だったのだと思います。

SCSBXの説明文にこんな一文がありますが、

### Direct Memory Access
SCSBX allows the program to directly access to the host memory.
This may sound dangerous but the program can only use the 32-bit
address space. Since SCSBX runs on a 64-bit machine with PIE enabled,
there's no way the user can read/write the VM memory directly.

明らかにこれはアヤシイ！と思いますよね。というわけで、じっとソースコードを見つめると、

void SCSBX::__sys_unmap()
{
  u64 address = ((u64)__stack_pop()) & ~0xfff;
  __assert_address_valid(address);

  for(auto itr = memmap.begin(); itr != memmap.end(); ++itr) {
    if (address == itr->first) {
      memmap.erase(itr);
      munmap((void*)address, itr->second);
      return;
    }
  }

  throw MEMORY_ERROR;
}

ほう、munmapの戻り値を確認しないとは勇気がありますね？というところを見つけられます。これは何に役立つかと言うと、メモリマップで言う

0x00000000 +-------------------+
           |                   |
           |     Free Space    |
0x55540000 +-------------------+
           | Machine Code (R-) |
           +-------------------+
           |                   |
           |     Free Space    |
           |                   |
0xfffe0000 +-------------------+
           |     Stack (RW)    |
0xffff0000 +-------------------+  ^^^ user-space ^^^
           |  Guard Page (--)  |
0xffffffff +-------------------+  vvv  VM-space  vvv
           |    VM instance    |
           |        ...        |

Guard Pageを除去するのに使えます。というのも、このGuard Pageは、実際にmapされているわけではなく、

SCSBX::SCSBX(u8 *_code, u32 _size)
{
  /* Guard page */
  memmap.push_back(std::make_pair((u64)STACK_BASE + (u64)STACK_SIZE_INIT,
                                  0x100000000 - (u64)STACK_BASE - (u64)STACK_SIZE_INIT));
}

という感じでVMの初期化時に「確保済みのメモリ領域」として予約されているだけなのです。この結果として、VMはこの領域にアクセスするとマップされていないのでSEGVがおきるし、マップしようにもマップ済みなのでmapを実行できない…はずなのですが、先ほどのようにmunmap命令が実行されると、munmapの結果にかかわらずこのmemmapというリストから除去が行われるため、なんとこの領域をmunmapしてから再度mmapすれば、普通にアクセスできるようになってしまうというバグがあったわけです。

で、ここにアクセスできると何がやばいかというと、Stackが伸びていくとやがてこのGuardPageにあたり、さらにそこを超えるとVM instance、つまりクラスSCSBXのインスタンスが確保されている領域を上書きできてしまうのです。

というわけで、たとえばこうすれば

  // unmap guard page
  instr_push(0xffff0000);
  instr_unmap();
  // map again
  instr_push(0x00010000);
  instr_push(0xffff0000);
  instr_map();

あとはstackをばんばん伸ばすだけでやがてこの構造体を上書きできるようになります。

class SCSBX {
private:
  /* fields */
  std::vector<std::pair<u64, u32>> memmap;

  u32 pc;
  int status;

  u8* code;
  u32* stack;
  u32 code_size;
  u32 capacity;
  u32 top;
...
  virtual void __assert_address_valid(u64 address);
  virtual void __assert_range_valid(u64 address, u64 size);
  virtual void __assert_resource_available(u64 address, u32 size);
...
};

しかもこの構造体、virtual関数としてアドレス範囲チェック系の重要な関数のポインタが記録されている場所でもあるので、ここをいい感じにRETを指すポインタように上書きすれば、チェックを全部回避することも、さらに任意のアドレスに実行を飛ばすこともできます。

…というところまでわかって、時間切れでした。ざんねん。

pythonが得意ではないので、hashのチャレンジレスポンスを解きつつ、ペイロードを突っ込むスクリプトを将来また書かなくてもいいようにここに貼っておきます。

from pwn import *
import itertools
import hashlib
import string
import sys

print(sys.argv[1])
f = open(sys.argv[1], "rb")
attack_bytes = f.read()

table = string.ascii_letters + string.digits + "._"

p = remote('pwn-neko.chal.seccon.jp', 19001)
ret = p.recvline().decode("utf-8") 
# ret = 'sha256("????LFx0jSq8mYA4oZC_.Kuw") = ca67aa308662f39b8e294a99120588102a94

hashval = ret.split("=")[-1].strip()
print(hashval)
suffix = ret.split("\"")[1].replace("?", "")
print(suffix)

for v in itertools.product(table, repeat=4):
    if hashlib.sha256((''.join(v) + suffix).encode()).hexdigest() == hashval:
        prefix = ''.join(v)
        break
else:
    print("[-] Solution not found :thinking_face:")

print("[+] Prefix = " + prefix)
p.sendline(prefix)
p.recvuntil('size')
p.sendline(str(len(attack_bytes)))
p.recvuntil('code')
p.sendline(attack_bytes)
p.interactive()

kstack

なんか/proc/stackというファイルに対するioctlを生やすkernel moduleが入ったマシンにつながるので、そいつのバグを突いて権限昇格しようね、という問題だったようです。 QEMUで実行できるようイメージと引数の書かれたシェルスクリプトが一緒に配られていて、めちゃくちゃ親切でうれしかったです。

ioctlの仕様としては、ioctl(fd, CMD_PUSH, &value)を発行すると、その値がユーザーランドからカーネル空間のスタック（実体は各要素がkmalloc(GFP_KERNEL)で確保されたLinked List）に格納され、ioctl(fd, CMD_POP, &value)を発行すると、そのカーネル空間のスタックからユーザーランドに値がコピーされていく、というものでした。 ちなみに、そのLinked Listの各要素には、格納したタスクのtgidが一緒に記録されていて、あるtgidが記録したデータに対する操作はそのtgidからしかできないようになっていました。

これについては全然進捗がなくて、複数タスクから同時にPOP処理をかけたら、解放された領域を指し続けるLinked Listが構成できそうとか、pidがぐるっと一周したらどうなる？とか色々あったのですが、結局時間も割けなくてとけませんでした。もっとカーネルに詳しくなりたいですね。

作問者による簡易解説ツイート

SCSBX:Reversing: Feistel構造
SCSBX:Escape: Guard Pageがunmapできる。pushに範囲チェックが無いのでVM instanceを破壊できる。偽のstd::vector<std::pair>に向けて範囲外read/writeが可能になる。libc baseはstack base,top上書き後にGOTの値をdupして取得。あとはvtable書き換え。

— pwnyaa (@pwnyaa) 2020年10月11日

pwarmup: stdoutが閉じてるのでシェルコード実行。stdinをdupするなりリバースシェル作るなりご自由に。
kstack: userfaultfdでrace。seq_operationsなどでRIPを取る。SMAP無効なのでuser-landでROP。
encryptor: libc-2.31でargv[0] leak。同じオプションを何度も指定できるのでstrcpyでNULLを量産。

— pwnyaa (@pwnyaa) 2020年10月11日

感想

バイナリおいしい！あとカーネルむずかしい…。

全体的に、問題のクオリティがかなり上がっているという印象を受けました。とてもよいことだと思います。それに、何より問題を解くのが楽しかったです。（可視化とかも面白かった。）

運営のみなさん本当にお疲れ様でした！ありがとうございましたー！

発端はuchan_nos氏によるこのツイートでした。

C言語で、本当にメモリの0番地にデータを書きたいときはどうすりゃええの？

— うー@技術書典8 Day1う31 BitNOS (@uchan_nos) 2020年2月12日

それに対する私のリプライ：

uint8_t *p = 1; p--; *p = v;

— hikalium (@hikalium) 2020年2月12日

私はこれで話が終わると思っていたのだが、どうやらそうではなかったらしく、色々な視点からの意見が加わりながら、話は混沌を極めたのでした…。

ということで、ここに私のこのツイートに対しての見解とか、わかったことをまとめておこうと思います。

私のリプライの背景について

uchanさんが求める「0番地にデータを書きたい」という課題設定を、私はこのように解釈しました。

• C言語において、整数0をポインタに変換すると、それはNULLポインタになる
• C言語において、NULLポインタへのアクセスは未定義動作である
• したがって、0番地にデータを書くことはできないのではないだろうか？
• これをすり抜ける方法はあるか？

これを受けて、私はこのように考えました。

• NULLポインタへのアクセスが未定義となるのはコンパイル時の話である
• ではコンパイル時にNULLポインタであるとコンパイラにバレなければ未定義動作にならないのではないだろうか？
• じゃあアドレス1を代入してポインタをつくり、それを引き算して0番地へのポインタをつくれば、コンパイラは見逃してくれるのではないだろうか？

そして、以下のコード片が生まれたわけです。

uint8_t *p = 1;  p--; *p = v;

ここで、vは何らかのuint8_t型の書き込みたいデータである（と文脈からわかると期待）。

仕様上の問題

しかしその後、有識者の人々がにわかにざわつき始めた。そして、私の提示したコードはやはり動かないということをherumiさんがありがたくも指摘してくださったわけです。

https://t.co/37AzusUhoc
Cの規格(6.3.2.3 3)では整数定数0か(void*)0がヌルポインタ(NULL)。NULLへのアクセスは未定義。したがって0へのアクセスは不可能。それ以外の整数からポインタへのキャストは処理系依存。
このコードはNULLへのアクセスと等価とみなしてgccやclangはud2を生成するようです。

— herumi (@herumi) 2020年2月14日

では仕様上、単なる0番地への代入コードや、私の書いたコードがなぜうまく動かないのかをみていきましょう。

0をポインタにキャストするとそれはnull pointerになる (6.3.2.3 - 3)

この仕様によれば、整数定数0となるような定数式をポインタにキャストすると、それはnull pointerになる。 そして、null pointerは、いかなるオブジェクトや関数へのポインタとも等しくならないことが保証されている。

null pointerを用いた間接参照は未定義動作になる (6.5.3.2 - 4)

この仕様によれば、*演算子を用いた間接参照をするときに、その参照が「無効なもの」であるとき、*演算子の挙動は未定義となる。 ここでいう「無効なもの」には、null pointerも含まれると注釈102に書かれている。

したがって、0番地に1を書き込もうとして *(uint8_t *)0 = 1; と書いてもこれは未定義動作になる これは、整数定数0をポインタにキャストしたもの(uint8_t *)0がnull pointerであり（ここまでは定義された動作）、これへの間接参照が「null pointerを用いた間接参照」になるためである。

この、null pointerへの間接参照を回避するための方法として私が編み出したのがuint8_t *p = 1; p--; *p = v;であるが、これも以下の仕様によって「処理系定義」の動作になる。

整数からポインタへの変換は処理系定義である (6.3.2.3 - 5)

この仕様によれば、整数からポインタへの変換を行ってもよいが、その結果は処理系定義になるという。 つまり、たとえアドレス1を表現しようとして(uint8_t *)1と書いても、その内部表現が整数1と等しくなるとは保証されないということである。

したがって、uint8_t *p = 1; p--; *p = v;と書いても、最初のuint8_t *p = 1;の段階でpがどこを指しているかは処理系の動作に完全に依存し、1番地を指しているとは限らないため、私の提案した方法は残念ながら処理系定義の結果になる。

しかも、最適化によって、コンパイラは*p=v;のタイミングでpがnull pointerになることを推測してしまう場合があるらしく、そうするとこれは未定義動作になってしまう。（これがherumiさんにご指摘いただいた部分。）

まじか、最適化の結果未定義動作を踏むこともあるのか、つらいな…。

じゃあどうすればいいのか

これは多くの人がすでに指摘している通りで、かつ私も同意する結果なのですが、

「処理系定義の動作に依存することなくメモリの0番地にC言語から読み書きをすることは不可能である」

が答えです。

これは、そもそもC言語には「メモリの何番地」に該当する概念がなく、ポインタへの整数値の代入も処理系定義であることが原因であるため、どうしようもありません。

なんとかできないの？

いくつかの点に目をつぶれば、まあ結果的に実現することは可能です。

*(uint8_t *)(0) = 1; とその派生

これは、今まで説明してきた理由によれば未定義動作となるため、鼻から悪魔が出てきてもおかしくありません。早速Compiler Explorerでやってみましょう。

残念ながら悪魔は出てきませんでしたが、最適化を有効にするとやはりud2ですね。しかし、最適化を無効にすれば一応期待通りのコードが得られます。

と、ここで気になるWarningがclangから出力されていることに気付きました。

<source>:3:5: warning: indirection of non-volatile null pointer will be deleted, not trap [-Wnull-dereference]

    *(uint8_t *)(0) = 1;

    ^~~~~~~~~~~~~~~

<source>:3:5: note: consider using __builtin_trap() or qualifying pointer with 'volatile'

1 warning generated.

Compiler returned: 0

ほう？volatileをつけると何か変わるんですかね。やってみましょう。

あれ、volatiileをつける場所、こっちじゃないの？

なるほど、こうすれば、clangでは最適化を有効にしていても、volatile 修飾をすることで有効なコードを吐いてくれるようです。gccは規格通りだめみたいですが…。

uint8_t *p = 1; p--; *p = 1; とその派生

この手法は、null pointer dereference が未定義動作になる挙動を回避した（つもりだった）ものです。（もちろん、この挙動は整数からポインタへの変換という処理系定義の動作に依存しています。）

しかし、最適化によって前半の結果pがnull pointerになることが推測されてしまっており、その結果ud2が生成されていますね。ということで、最適化を無効にするためにvolatile をつけてあげましょう。

おー、確かに動きはしますね。でもポインタ演算が入ってしまいますが…。

volatile修飾をポインタ変数ではなく、その指す値につけてみると、ポインタ演算に関する最適化は両者とも走るようになり、gccでは想定通りud2になったんですが、なんとclangでは最適化された結果である0番地への代入mov byte ptr [0], 1 が生成されました。 clangはvolatileがついてたらnull pointerのdereferenceも許容してくれるってことみたいですね。

追記: -fno-delete-null-pointer-checks というフラグをコンパイル時につける

-fno-delete-null-pointer-checksだとgcc/clangともに*(char*)0 = 0;で期待する(?)コードがでました。dereferenceしてるのでその先のポインタはNULLじゃないとみなす? 本来int a = p->v; if(!p)...の後ろのチェックを省略するやつ(デフォルトon)なので意味的に逆な感じもするのですが。@hikalium

— herumi (@herumi) 2020年2月15日

clangとgccの両方で期待通り動くようです。gccのドキュメントにおける記載はここにあります。なるほどud2になる挙動は、「絶対に引っかかることがコンパイル時にわかっている（実行時に行われる可能性がある）null pointer checkを、コンパイル時にud2に置き換える」という最適化によるものなんですね。

ところで調べていたら、このコンパイルオプションが追加されたClangへのパッチを見つけました。曰く：

Support for this option is needed for building Linux kernel. This is a very frequently requested feature by kernel developers.

More details : https://lkml.org/lkml/2018/4/4/601

なるほど、やはりLinux Kernel開発者からの熱い要望があったんですね。（lkmlのリンクに飛ぶと、Linusの熱い言葉が見れるのでおすすめです。）入ったのが比較的最近(2018年中頃)というのも面白いですね。

(Thanks @herumi, @kazuho !)

追記: __attribute__((address_space(1))) をポインタ変数につける(LLVM/clang限定)

id:uenoku さんのコメント曰く：

id:uenoku

既出でしたら申し訳ないですが、clangならllvm::NullPointerIsDefinedをtrueにすることを考えれば良いので以下のようなコードがかけます https://godbolt.org/z/x5cXf4

Compiler Explorerでの結果 のうち、f1, f2は前述した-fno-delete-null-pointer-checksによるもの、f3がこの手法です。

address_space(n) というattributeは、そのポインタがどのアドレス空間のものかを指定するもので、デフォルトはaddress_space(0)になっています。そしてこのAddress Spaceの値が、null pointerへの参照が定義された動作かを判定するLLVMの関数bool llvm::NullPointerIsDefined(const Function *F, unsigned AS) @ lib/IR/Function.cpp に渡されます。この関数の実装を見てみると：

bool Function::nullPointerIsDefined() const {
  return getFnAttribute("null-pointer-is-valid")
          .getValueAsString()
          .equals("true");
}

bool llvm::NullPointerIsDefined(const Function *F, unsigned AS) {
  if (F && F->nullPointerIsDefined())
    return true;

  if (AS != 0)
    return true;

  return false;
}

AS(address space)が0以外のとき、常にtrueを返すことがわかります。これで、null pointerへの参照が未定義動作ではないよとコンパイラに教えることができるわけです。なるほどー。

(Thanks id:uenoku !)

まとめ

• C言語はやはり難しい
• こんな記事を書いて時間をつぶしている場合ではなかった
• でも仕様書を読むのも楽しいのでおすすめ

参考文献

• (n1570.pdf)