Chapter 2 软件安全基础知识

2.1 系统引导与控制权

BIOS

Basic Input & Output System：基本输入输出系统，存储在主板BIOS Flash或ROM芯片中，其为计算机提供最为底层和直接的硬件设置和控制。

在启动计算机时，BIOS会进行自检工作：检测系统中的一些关键设备是否存在以及是否能够正常工作，进行初始化并将控制权交给后续引导程序

• 显卡及其他相关设备初始化
• 显示系统BIOS启动画面，含系统BIOS版本号、类型、序列号等
• 检测CPU类型和工作频率，内存容量，将结果显示在屏幕之上
• 检测系统中安装的一些标准硬件设备和即插即用设备（硬盘、光盘、软驱、串并行接口等）
• 根据用户指定顺序从硬盘/软盘/光驱启动，若从硬盘启动，则将控制权交由硬盘主引导程序。

MBR

Master Boot Record：硬盘主引导程序，位于硬盘的第一个扇区。

• 用于从主分区表中定位活动分区
• 装载活动分区的引导程序，并移交控制权

DBR

DOS Boot Record（OBR/PBR）：活动分区引导程序，位于分区的第一个扇区。

• 用于加载操作系统引导程序，准备将控制权移交给操作系统。Windows XP的NTLDR和Windows 10的bootmgr

操作系统引导

• 将处理器以16位内存模式扩展为32（64）位内存模式
• 启动小型文件系统驱动，以识别FAT32和NTFS系统
• 读取boot.ini，进行多操作系统选择（或hiberfil.sys恢复休眠）
• 检测和配置硬件（NT或XP系统，则运行：-NTDETECT.COM，将硬件信息提交给NTLDR，写入HKEY_LOCAL_MACHINE中Hardware中）

系统内核加载

• NTLDR加载内核程序NTOSKRNL.EXE以及硬件抽象层HAL.dll等
• 读取并加载HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下面指定的驱动程序
• NTLDR将把控制权传递给NTOSKRNL.EXE，至此引导过程结束

Windows系统装载

• 创建系统环境变量
• 启动win32.sys（windows子系统内核模式）
• 启动csrss.exe（windows子系统用户模式）
• 启动winlogon.exe等一系列程序，显示图标等
• 启动需要自启动的windows服务
• 启动本地安全认证Lsass.exe
• 显示登录界面等
• 登录后启动当前用户环境下的自启动程序
• 用户自行触发执行各种应用程序

恶意代码获取控制权的方式

• 在计算机系统引导阶段获取控制权
• 在操作系统启动阶段获取控制权
• 在用户应用程序执行阶段获取控制权

2.2 80x86处理器工作模式

实地址模式、保护模式、虚拟8086模式
其中除保护模式外均为向下兼容8086处理器而设计。

实地址模式

• 80x86处理器于复位和加电时使用
• 寻址方式：段地址+偏移地址，可寻址2²⁰=1MB空间
• 不能进行内存分页管理
• 没有优先级的定义，所有指令均在ring0状态工作
• 如何切换到保护模式：在实地址模式下初始化控制寄存器，GDTR、LDTR等管理寄存器以及页表，之后置位CR0寄存器的保护模式使能位（第0位）

保护模式

• 80x86的常态工作模式
• 32位的处理器支持32位寻址，可寻址空间：4GB
• 支持内存分页机制，能够支持虚拟内存
• 支持优先级机制，能够进行任务环境隔离
• 如何切换到实模式：修改CR0寄存器的保护模式使能位即可

虚拟8086模式

• 在保护模式下兼容80x86模式
• 作为任务在保护模式下运行，相当于开启了一个8086模式的虚拟机
• 能够使用内存分页机制为每一个虚拟8086模式任务分配1MB的内存

2.3 Windows内存结构和管理

DOS实模式内存管理

Windows虚拟地址空间布局

windows的32位系统共4GB内存中用户空间和内核空间各占2GB，其中用户空间在低地址处（Linux用户空间为3GB）

Windows程序在内存中的映像

CPU特权级别与内存访问

操作系统将处理器存取模式划分为用户模式（ring3）和内核模式（ring0）。用户应用程序仅能访问用户区地址，内核程序可以访问所有内存地址、硬件，使用所有处理器指令。

用户区内存的内容

• 应用程序代码
• dll文件代码
• 全局变量
• 线程栈

不同程序的内存相互隔离，能够从一个程序影响另一个程序很难。

内核区内存的内容

内核区数据为所有进程共享，含操作系统内核、线程调度、内存管理、文件系统、网络系统等支持代码。用户态代码无法访问。

虚拟地址和物理地址的转换

x86 windows使用二级页表的方式进行转换，可将虚拟地址转译为物理地址。
32位地址由：页目录索引（最高10位）、页表索引（中间10位）、字节索引（最低12位）构成。x86系统中默认分页大小为4KB，故页内字节索引为最低12位。
页目录基地址通过CR3寄存器获取，通过页目录索引找到页目录项（PDE），转到相应的页表索引。页目录是一个长度为1024的数组。【注意：页目录中存放的是每一个页表的起始地址，页表的存放可能是离散的】
在页表中通过页表索引找到页表项（PTE），指向虚拟地址所映射的物理地址。每个页表也是一个长度为1024的数组。【页表中存放的就是物理地址】
再加上字节索引，就能够映射到具体的物理地址中的某一个字节。
存放PDE和PTE的地址称为页帧号（PFN）

思考题

1. windows编程时malloc实际上能支持的内存大小不大于2GB，因为用户能够分配的空间只有2GB，但这2GB中还包含代码、其他数据、控制信息等，因此这2GB无法全部被分配。
2. 不断增加物理内存，不能增加malloc分配的最大内存大小，因为机器字长的限制，每个程序的内存大小均为4GB，与物理地址的大小无关。
3. 增加物理内存能够让系统运行更加流畅，因为减少了换页的次数。（换页：在物理内存空间紧张时，操作系统会将目前访问次数不多或正在挂起的进程的内存空间暂时转移到外存中，以提升当前正在运行进程的速度。）

2.4 磁盘的物理和逻辑结构

物理结构

硬盘：控制代码的静态存储仓库，内含系统引导代码和用户存储的各类代码和数据等。同时硬盘也是恶意代码争夺控制权的中心

外部结构：接口（电源接口+数据接口）、硬盘控制电路、固定面板

• 接口：PATA并行接口、SATA串行接口，并行接口传输速度比串行慢
• 固定面板：保证盘片和机构的稳定运行，包括产品基本信息，如版号、生产日期等
  内部结构：盘片、磁头、盘片主轴、控制电机、磁头控制器、数据转换器。

逻辑结构

寻址方式：

• CHS寻址：柱面、磁头、扇区。
  • 磁头有256个，柱面（磁道）有1024环，扇区有63个，每扇区存储512字节数据，故可以寻址最多8064MB空间。
• 对于老式硬盘而言，每个磁道的扇区数量相等，这样位于外圈的磁道会产生空间浪费，相比内圈的磁道存储密度低得多。因此当前硬盘采用等密度结构，寻址方式采用线性逻辑块寻址：以扇区为单位进行线性寻址（有地址翻译器使两种寻址方式能够兼容）

CHS寻址与线性寻址（LBA）的转换关系
LBA实际上就是给每一个扇区进行编号，使得通过编号能够唯一确定一个扇区的位置。转换时扇区为最小单位，其上为磁头，最高为柱面。相邻扇区的LBA之差为1，相同扇区、相邻磁头的LBA之差为63；相同扇区、相同磁头、相邻柱面的LBA之差为63*255。

硬盘的分区结构

• MBR分区
  • 主引导扇区：位于柱面0，磁头0，扇区1（第一个扇区），这个扇区中包含：
    • MBR引导程序：前446字节
    • DPT（硬盘分区表）：之后64字节
    • 结束标志：最后两个字节“55AA”
  • 基本分区
  • 扩展分区
• GPT分区
  • 描述各个分区的基本信息：分区开始位置、总的扇区数、分区类型等，每个分区信息占16字节

2.5 FAT32文件系统

FAT32文件系统由三个部分组成：引导扇区、FAT、数据存储区（以簇为单位，每一簇含多个扇区，存储目录项和文件数据）

簇

将磁盘空间以一定数目（2的整数次方）的扇区为单位进行划分，这样的单位即为簇。是文件空间分配的最小单位。

簇既不能太大，也不能太小。如果太大，存储很小的文件时也需要一整个簇，浪费空间；如果太小，则容易产生磁盘碎片。

FAT表

文件分配表：在FAT文件系统中用于磁盘数据索引和定位而引进的一种单向链表式结构。

FAT表存储所有簇的占用情况，若表项的值为0，则说明这个簇处于空闲状态。

对于FAT32文件系统，32位共可表示4GB大小的簇号空间。

簇链

一个文件占用簇号形成的单向链表。

在文件占用簇对应簇号的FAT项下填写下一个簇的簇号即可实现。若为最后一个簇，则填“0xFFFFFF0F”

文件的存储过程

• 定位足够的空闲簇
• 创建文件目录（文件目录：记录系统中所有文件的名字及其存放地址的目录表，可以理解为需要另外记录下文件的首簇）
• FAT中构建簇链
• 写入文件数据

被删除文件如何恢复

• 文件删除并非将簇中的文件内容全部销毁，而是将文件名首字节修改为E5后删除FAT表项与簇链，实际内容还在，但文件系统已无法索引。
• 即使通过文件恢复程序将删除文件恢复，也不可能得到文件名的第一个字节。
• 若要彻底删除文件，需要将原来文件占有的簇重新覆写，有时需要覆写几次才能够实现真正删除。

2.6 PE文件格式

参见第4章

VA = Image Base + RVA

2.7 ELF文件格式

elf文件是Linux可执行文件，含可执行文件、动态链接库文件.so等。

有段头部表用于将不同段映射到内存中的不同地址。

代码段有：.init、.text、.rodata等，均为只读。其中.rodata存储在C代码中直接定义的数据，如printf(“Hello”)中的字符串"Hello"即存储在.rodata中，不可修改。
数据段有：.data、.bss等，其中.data存放已经初始化的全局变量和静态变量，.bss存放未初始化的。
此外还有如.symtab、.debug、.line等不加载到存储器的符号表和调试信息。

练习题
1. 某程序内存中页目录索引为0x3f的值为0x74465000；则在_______到_______范围内的虚拟内存需要通过0x74465000指向的页表来查找其对应的物理地址；已知0x74465AB8地址处DWORD的值为0x83BF4000，那么物理地址为0x83BF4212对应的虚拟地址为_______（6分）

分析：虚拟地址最高10位对应的是页目录的索引，故最高10位应为0x3f，对应的虚拟内存地址应该为0x0FC00000~0x0FFFFFFF共0x400000字节的空间（一个页4KB，即0x1000，这里是0x400（1024）页）。（0x74465AB8-0x74465000）/4=0x2AE，则其对应的应该是0x0FC00000+0x2AE*0x1000~0x0FC00000+0x2AF*0x1000-1的地址空间，即0x0FEAE000~0x0FEAEFFF这4KB空间，对应的应该是物理地址0x83BF4000~0x83BF4FFF，故物理地址为0x83BF4212在内存中的映射应该为0x0FEAE212。

2. 在一个FAT文件系统中，一个簇的大小为4KB。现在向该文件系统中存入若干个大小在4~16KB之间的文件，每个文件的大小在这个范围内呈均匀分布。当存入文件足够多时，求该FAT文件系统中被浪费的空间占被占用的所有簇的总空间的比例。（4分）

分析：由于文件大小可能为4~16KB中的任何数，因此其大小在4~8KB的概率为1/3，8~12KB的概率为1/3，12~16KB的概率为1/3。即一个文件需要分配2、3、4个簇的概率均为1/3，对于每一个文件，其最后一个簇中被浪费的空间的期望值应该为簇大小的一半，即1KB，故分配2、3、4个簇时空间利用率的期望值分别为3/4，5/6，7/8。因此总的空间利用率期望值为$\frac{1}{3}\times(\frac{3}{4}+\frac{5}{6}+\frac{7}{8})=\frac{59}{72}$，被浪费的空间占总占用空间的$\frac{13}{72}$，超过1/6。

Chapter 1 软件安全概述

1.1 概念

网络空间有两个子空间：代码空间和数据空间

Safety和Security的区别：Safety强调相对于环境的安全，而Security强调相对于其他人的安全。

1.2 任何软件都是不安全的

软件测试无法绝对保证软件安全性的原因：软件规模的增加、开发进度的要求提升使得开发人员难以考虑到所有的安全问题。通常测试案例构成的空间巨大，无法全部进行测试，只能抽取其中的一小部分进行测试。

为尽量减少软件安全问题，一方面应该在开发时开发者尽量多考虑，另一方面也需要一定的测试工作。几乎所有的软件都是带着安全隐患投入运行。任何软件都是不安全的。

1.3 软件不安全的外部表现

• 软件运行时不稳定，产生错误输出、异常现象、直接崩溃
• 敌方利用各种手段进行攻击，窃取信息破坏系统等

通常这类软件安全问题的存在需要软件开发方投入大量人力和资金进行软件的维护工作。

1.4 软件安全问题产生原因

安全隐患可分为错误和缺陷两类。错误是软件开发过程中出现的问题，如线程处理不当等，容易发现与修复；缺陷产生于设计阶段，在代码中实例化且难以发现。

从开发者的角度看软件不安全的原因：

• 软件生产没有严格遵守软件工程流程。在设计之初没有对软件的功能进行完整的考虑，随意改动软件需求规格说明书等。
• 大多数商业软件的结构复杂，使得维护软件困难。
• 没有采用科学编码方案，可能产生由编码不一致引起的问题。如乱码等
• 测试不到位，没有覆盖所有可能的用户输入类型等

从软件工程客观角度看软件不安全的原因：

• 软件复杂性和工程进度的平衡：工程进度仅按照软件规模进行适度延长，很多问题来不及解决。
• 安全问题的不可预见性：仅通过对运行状态的简单假设无法覆盖所有运行情况。
• 软件需求的变动：在变动过程中对安全问题的忽略。
• 软件组件之间交互的不可预见性：与客户自行安装的第三方组件可能有不兼容的问题。

1.5 软件安全防护手段

• 安全设计与开发
  • 将安全思想融入到软件开发管理流程之中，在开发阶段就尽可能减少漏洞和缺陷的存在。
  • 优秀范例：微软的SDL-IT（信息技术安全开发生命周期流程）
• 保障运行环境
  • 保证软件自身的运行环境，加强系统自身的数据完整性校验
  • 含软件完整性校验和系统完整性校验。软件完整性校验指安全软件安装时对系统的重要文件进行校验并保存校验值。系统完整性校验则从更加底层的方面校验。
• 加强软件自身行为认证
  • 确保软件自身总是向着预期的方式运行。
• 恶意软件检测与查杀
  • 反病毒软件的安装与使用
• 黑客攻击防护
  • 防火墙、IDS、IPS、EMET（基于主机的漏洞攻击阻断技术）
• 系统还原
  • 将关键系统文件进行镜像备份，因此可以在受到攻击时能够还原到原来的状态。如Ghost还原软件
• 虚拟隔离
  • 在虚拟机中进行风险较大的操作，防止风险转移到主机上。
  • 沙箱技术：可用于隔离风险行为与分析恶意软件

练习题：
1. 阅读下面的代码，回答下列问题：（23分）

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

// 这个函数的功能是对输入进行移位加密。如输入为helloworld
// 将其竖着写，每一列写3个字符，再逐行拼接，得到密文为hlodeorlwl
// hlod
// eor
// lwl
char* foo(char* plaintext){
	int size = strlen(plaintext);
	char* cipher = (char*)malloc(size);
	int index = 0;
	for(int i=0; i<3; i++){
		for(int j=0; j<size / 3; j++)
			cipher[index++] = plaintext[j*3+i];
	}
	return cipher;
}

(1) 本函数使用了malloc库函数，但是没有__________________，这可能会导致________________________。另外，函数也没有检查__________________。（6分）
(2) 当输入的字符串_____________________时，函数的输出可能会出错，原因是___________________________________________________。（5分）
(3) 除了上面提到的问题之外，这个函数还存在什么问题？（4分）
(4) 请对上述第(1)问和第(2)问提到的问题进行修复，写出完整代码。（8分）

答案：
(1) 检查是否分配成功；程序尝试访问空指针导致崩溃；输入字符串指针plaintext是否为空
(2) 长度不是3的倍数；在for循环中内循环次数为size/3，结果是一个整数，总的遍历次数为(size / 3)*3 < size，导致最后的两个字符无法被加密，从而结果错误
(3) 该函数不能加密中文字符串，因为中文字符至少占2字节，程序逐字节进行移位会导致中文字符被拆分，从而出现乱码。
(4) 具体代码略，注意当明文长度不是3的倍数时的处理方式。

解题技巧：常见的安全隐患

1. malloc没有检查是否成功分配
2. 缓冲区溢出
3. 整数溢出
4. 没有释放空间（不是所有情况）
5. 线程死锁（考的少）
6. 逻辑错误（需要对代码进行具体分析

Chapter 5 语法制导翻译技术与中间代码生成

5.1 概述

对语法分析后的语法单位进行，首先编译程序审查每个语法结构的静态语义，如果静态语义正确，再生成中间代码，也有的编译程序不生成中间代码直接生成实际的目标代码。

5.2 属性文法

属性文法：带有属性的文法，每一个文法符号都有对应的属性值代表其实际意义。属性分为继承属性和综合属性两种。

非终结符可以有继承属性和综合属性，而终结符只可能有综合属性。

• 综合属性：指自下而上的属性，即在一个文法中，左式非终结符的属性值根据右式语句中符号的属性确定。
• 继承属性：指自上而下的属性，即在一个文法中，右式非终结符的属性值根据左式非终结符的属性决定。

属性文法：一种上下文无关文法，除此之外还有一系列语义规则，为文法的每一个规则配备的计算属性的规则，称为语义规则，含属性计算、静态语义检查、符号表操作、代码生成等。

由上面的定义可知，文法产生式的左式非终结符的综合属性和右式非终结符的继承属性一定需要一个语义规则定义出来，否则将无法从现有规则中推导出这些语义。

5.3 语法制导翻译概述

相关概念
依赖图：一棵语法树中属性示例之间的信息流，它和语法树的形状相同，箭头自下而上指向。

S-属性文法：仅含有综合属性的属性文法。

L-属性文法：在产生式$A\rightarrow X_1X_2...X_n$中属性可以为继承属性也可以为综合属性且右侧某符号$X_j$的继承属性仅依赖于其左边$X_1X_2...X_{j-1}$某些符号的属性或$A$的继承属性的文法。它是S-属性文法的超集。

文法表示方法
与文法符号相关的属性和规则使用大括号括起来，插入在产生式右部的任何位置，它显式给出了计算的顺序。

如$E\rightarrow E^{(1)}+E^{(2)}\{E.\operatorname{val}=E^{(1)}.\operatorname{val}+E^{(2)}.\operatorname{val}\}$

根据语法树进行语义分析时，只需进行先根遍历逐一计算即可。

语法树遍历
对于继承属性，由于子节点的继承属性值由其父节点决定，直接由上而下进行计算即可。

对于综合属性，由于父节点的综合属性值由其子节点决定，需要由下而上进行计算。

由于S-属性文法不存在继承属性，因此直接由下而上遍历一次即可，计算同时也可以分析语法。对于L-属性文法，由于产生式右式偏后面的符号不会影响偏前面的符号的值，而由上而下规约在一个产生式中是以从左到右的顺序进行。因此每一次遍历到的符号的属性值无论是继承属性还是综合属性都可以由前面已经遍历过的符号的值决定，因此只需要由上而下进行分析即可。

注意：S-属性文法的自下而上分析需要使用栈，除文法分析使用到的状态栈和文法符号栈之外还需要一个语义值栈。由于S-属性文法使用LL文法的分析方式进行分析，因此不能产生无限左递归，需要参考LL文法的左递归消除方式消除文法的左递归。

例：（第五章作业第1题）给定文法G[S]: S→L.L | L，L→ LB | B， B→ 0 | 1，设计一个S-属性文法将该文法描述的二进制数转换成十进制数，比如10.11翻译之后得到2.75。（提示：设计综合属性分别表示值以及二进制数的位数）
解答：
原文法：
$G[S]: \\ S→L.L | L\\L→ LB | B\\B→ 0 | 1$
设计非终结符的两个属性：十进制值（val）和位数（bits）
容易得到文法规则$B\rightarrow 0|1$的语义规则为：
$B.\operatorname{val}=\operatorname{Lex.digit},B.\operatorname{bits}=1$
对于文法规则$L\rightarrow B$，可得其语义规则为：
$L.\operatorname{val}=B.\operatorname{val},L.\operatorname{bits}=1$
对于文法规则$L^{(1)}\rightarrow L^{(2)}B$，不考虑值有可能成为小数，其语义规则为：
$L^{(1)}.\operatorname{val}=L^{(2)}\times2+B.\operatorname{val},L.\operatorname{bits}=L^{(1)}.\operatorname{bits}+1$
对于文法规则$S\rightarrow L$，语义规则为：
$S.\operatorname{val}=L.\operatorname{val},S.\operatorname{bits}=L.\operatorname{bits}$
对于文法规则$S\rightarrow L^{(1)}.L^{(2)}$，其语义规则为：
$S.\operatorname{val}=L^{(1)}.\operatorname{val}+L^{(2)}.\operatorname{val}\times2^{-L^{(2)}.\operatorname{bits}}$，由此得到$S$表示的十进制数。
则设计出来的S-属性文法为：
$G[S]: \\S→L^{(1)}.L^{(2)}:S.\operatorname{val}=L^{(1)}.\operatorname{val}+L^{(2)}.\operatorname{val}\times2^{-L^{(2)}.\operatorname{bits}} \\S→L:S.\operatorname{val}=L.\operatorname{val},S.\operatorname{bits}=L.\operatorname{bits} \\L^{(1)}→ L^{(2)}B:L^{(1)}.\operatorname{val}=L^{(2)}\times2+B.\operatorname{val},L.\operatorname{bits}=L^{(1)}.\operatorname{bits}+1 \\L→B:L.\operatorname{val}=B.\operatorname{val},L.\operatorname{bits}=1 \\B→ 0:B.\operatorname{val}=0 \\B→1:B.\operatorname{val}=1$

原文法：
$G[S]: \\S→L.L | L\\L→ LB | B\\B→ 0 | 1$
设计非终结符的两个属性：十进制值（val）和位数（bits）
容易得到文法规则$B\rightarrow 0|1$的语义规则为：
$B.\operatorname{val}=\operatorname{Lex.digit},B.\operatorname{bits}=1$
对于文法规则$L\rightarrow B$，可得其语义规则为：
$L.\operatorname{val}=B.\operatorname{val},L.\operatorname{bits}=1$
对于文法规则$L^{(1)}\rightarrow L^{(2)}B$，不考虑值有可能成为小数，其语义规则为：
$L^{(1)}.\operatorname{val}=L^{(2)}\times2+B.\operatorname{val},L.\operatorname{bits}=L^{(1)}.\operatorname{bits}+1$
对于文法规则$S\rightarrow L$，语义规则为：
$S.\operatorname{val}=L.\operatorname{val},S.\operatorname{bits}=L.\operatorname{bits}$
对于文法规则$S\rightarrow L^{(1)}.L^{(2)}$，其语义规则为：
$S.\operatorname{val}=L^{(1)}.\operatorname{val}+L^{(2)}.\operatorname{val}\times2^{-L^{(2)}.\operatorname{bits}}$，由此得到$S$表示的十进制数。
则设计出来的S-属性文法为：
$G[S]: \\S→L^{(1)}.L^{(2)}:S.\operatorname{val}=L^{(1)}.\operatorname{val}+L^{(2)}.\operatorname{val}\times2^{-L^{(2)}.\operatorname{bits}} \\S→L:S.\operatorname{val}=L.\operatorname{val},S.\operatorname{bits}=L.\operatorname{bits} \\L^{(1)}→ L^{(2)}B:L^{(1)}.\operatorname{val}=L^{(2)}\times2+B.\operatorname{val},L.\operatorname{bits}=L^{(1)}.\operatorname{bits}+1 \\L→B:L.\operatorname{val}=B.\operatorname{val},L.\operatorname{bits}=1 \\B→ 0:B.\operatorname{val}=0 \\B→1:B.\operatorname{val}=1$

5.4 中间语言

5.4.1 逆波兰式

逆波兰式又称为后缀式，不存在因为运算符优先级问题而产生的冲突。
逆波兰式的计算较为简单，只需要使用一个栈即可完成计算。

5.4.2 三元式和树形表示

三元式：(op, arg1, arg2)，其中op为运算符，arg1和arg2分别为操作数。
特点：

• 三元式出来的顺序和语法成分的计值顺序相一致。其运算结果由每一个三元式之前的序号指示（称为指示器）
• 三元式之间的联系是通过指示器实现的。

间接三元式：为减少三元式在优化时的顺序改动，需要增加一个间接码表，以这种方式进行处理的称为间接三元式。间接三元式的理解也不难，对于传统三元式，如果需要转换的表达式中出现了重复的计算，那么就会出现重复的三元式，在优化时为了消除重复，势必会修改一些三元式的序号名，这样就需要修改所有引用的序号名。为了避免这种情况发生，干脆将所有三元式放入一个类似于三元式池的地方，实际的计算顺序只使用序号表示（保存在间接码表之中），这样在优化时只需要修改间接码表即可，而不需要对三元式进行直接的修改。

树形表示：三元式的另一种表示形式，即将三元式的计算以树形结构进行表示，类似于语法树。

5.4.3 四元式

四元式：(op, arg1, arg2, result)
特点：

• 出现的顺序和语法成分的计值顺序相一致。
• 易于调整和变动四元式，不会出现三元式的问题。
• 便于优化处理。

三地址代码：result=arg1 op arg2

5.5 自上而下语法制导翻译

5.5.1 简单算数表达式和赋值语句的翻译

简单算数表达式和赋值语句到四元式的翻译步骤：

• 分析文法特点。
• 设置一系列语义变量，定义语义过程、语义函数。
• 修改文法，写出每一规则式的语义子程序。
• 扩充LR分析栈，构造LR分析表。

一般需要定义下列函数：

• newtemp函数：产生一个新的变量名，一般会送入符号表中。
• emit函数：根据一个三地址代码产生一个四元式，并填入四元式表中。
• lookup函数：传入一个变量名，判断这个变量名是否在符号表中，如果在则返回其指针，否则返回NULL。
• 语义变量place：表示存放该非终结符的变量名在符号表中的入口地址或临时变量名的整数码（可以参与运算）。

书中第119页给出了对加法和乘法的文法的语法制导翻译。注意右边的函数中引号的作用是将运算符引用起来，并没有其他的意思。

5.5.2 布尔表达式的翻译

布尔表达式用于计算逻辑值，可作为控制语句的条件式。在翻译时仿照算数表达式进行计值。考虑到布尔表达式中有短路情况存在，因此还需要一定的控制流，转移到某个位置表示其求值结果。

布尔表达式的文法：
$E\rightarrow E\land E|E\vee E|\lnot E|(E)|i \operatorname{rop}i|i$

较为固定的翻译方法：

• 对于$A\vee B$，可翻译为：if A then true else B
• 对于$A\land B$，可翻译为：if A then B else false
• 对于$\lnot A$，可翻译为：if A then false else true
• 在书本第121页

还需要定义下面的控制流转换四元式：

• if E goto L₁：如果E为真，则跳转到L₁。
• if E⁽¹⁾ rop E⁽²⁾ goto L₁：如果E⁽¹⁾ rop E⁽²⁾，则跳转到L₁。
• goto L₂：无条件跳转到L₂。

定义了上面的四元式后，将布尔表达式转换为四元式的过程就类似于将C语言中的条件判断式转换为汇编语言。

转换的相关技巧：由于条件判断和赋值不能在一个四元式中进行，因此如果需要翻译包含有E⁽¹⁾ rop E⁽²⁾的布尔表达式，需要进行一定的转换。转换方式如下：

• if E⁽¹⁾ rop E⁽²⁾ goto L₂
• L₁: t₁=0
• goto L₃
• L₂: t₁=1
• L₃: …

注意：if四元式的跳转是向距离自己较远的一条赋值语句跳转，而距离自己较近的赋值语句需要通过无条件跳转最终到达其他四元式。实际上这也是编译器处理布尔表达式条件跳转时常用的方法。在不考虑使用控制流优化的情况下，上述方法已经完全够用。

控制语句中布尔表达式的翻译
对于控制语句而言，存在一个短路现象。两个表达式相与，第一个为假则整个语句一定为假；两个表达式相或，第一个为真则整个语句一定为真。因此利用此特性简化对布尔表达式求值的判断。

真出口、假出口：布尔表达式为真/假时控制流向的转移目标

为规范化针对短路现象的优化，定义以下三个非终结符属性和两个函数：

• tr：记录表达式E所对应的四元式需要回填真出口的四元式的地址所构成的链。
• fa：记录表达式E所对应的四元式需要回填假出口的四元式的地址所都成的链。
• code：记录表达式E所对应第一条四元式的序号。
• merg(p₁, p₂)：链接函数，用于链接真链或假链。其对应的情况是二者相与前者为假或二者相或前者为真的情况，即不需要判断第二个表达式的真假。如在二者相或表达式中，最后一条语句为E.tr=merg(E⁽¹⁾.tr, E⁽²⁾.tr)，这是在让第二个表达式为真时跳转到第一个表达式为真时需要执行的跳转四元式。并且将两个表达式相或作为整体指明其为真时应该执行的四元式的编号，赋值给E。需要注意的是：相或时真出口应该是第一个表达式的真出口，因为第一个表达式为真时会直接从真出口出去。该函数实际上就是合并两条链，并返回链首。
• bp(p, t)：回填函数，用于回填真链与假链。其对应的情况是二者相与前者为真或二者相或前者为假的情况，即需要判断第二个表达式的真假。如在二者相或表达式中，第一条语句即为bp(E⁽¹⁾.fa, E⁽²⁾.code)，指的是让表达式1为假时跳转到表达式2。在二者相与表达式中，则对应为bp(E⁽¹⁾.tr, E⁽²⁾.code)。该函数实际上就是将一条链上链接的所有四元式的第四个字段都填写为一个值。

翻译过程理解：

• 两者相或：回填是将表达式1的假出口设置为表达式2，链接是将表达式2的真出口设置为表达式1的真出口，同时将表达式整体的真出口设置为表达式2的真出口，最后将表达式整体的假出口设置为表达式2的假出口。
• 两者相与：回填是将表达式1的真出口设置为表达式2，链接是将表达式2的假出口设置为表达式1的假出口，同时将表达式整体的假出口设置为表达式2的假出口，最后将表达式整体的真出口设置为表达式2的真出口。

例：翻译布尔表达式$E_1\lor E_2\land E_3$
分析：首先列出四元式：

100: if E₁ goto ?
101: goto ?
102: if E₂ goto ?
103: goto ?
104: if E₃ goto ?
105: goto ?

然后按照语法树顺序进行句子的翻译（语法树略）
根据算符优先级，应该首先翻译$E_2\land E_3$，使用规则$E\rightarrow E^{(1)}\land E^{(2)}$
第一条语句： bp(E⁽¹⁾.tr, E⁽²⁾.code)，执行后：

100: if E₁ goto ?
101: goto ?
102: if E₂ goto 104
103: goto ?
104: if E₃ goto ?
105: goto ?

第二条语句： E.code=E⁽¹⁾.code，执行后，E.code=102
第三条语句： E.tr=E⁽²⁾.tr，执行后，E.tr=104
第四条语句： E.fa=merg(E⁽¹⁾.fa, E⁽²⁾.fa)，执行后，E.fa=105

100: if E₁ goto ?
101: goto ?
102: if E₂ goto 104
103: goto 105
104: if E₃ goto ?
105: goto ?

然后翻译或语句：
第一条语句： bp(E⁽¹⁾.fa, E⁽²⁾.code)，执行后：

100: if E₁ goto ?
101: goto 102
102: if E₂ goto 104
103: goto 105
104: if E₃ goto ?
105: goto ?

第二条语句： E.code=E⁽¹⁾.code，执行后，E.code=100
第三条语句： E.fa=E⁽²⁾.fa，执行后，E.tr=105
第四条语句： E.fa=merg(E⁽¹⁾.tr, E⁽²⁾.tr)，执行后，E.fa=104

100: if E₁ goto ? // 真出口
101: goto 102
102: if E₂ goto 104
103: goto ? // 假出口
104: if E₃ goto 100
105: goto 103

5.5.3 控制语句的翻译

if语句和if-else语句的翻译

对于if语句和if-else语句，由于可能存在嵌套现象，因此在文法规则$S\rightarrow \operatorname{if} E \operatorname{then} S^{(1)} \operatorname{else} S^{(2)}$中，E也有可能是控制语句，在S⁽²⁾没有分析完之前，S⁽¹⁾执行完之后跳转到哪里实际上是不知道的，而内部的嵌套语句也是如此。因此定义一个语义变量chain记忆所有待填信息的四元式链，便于在翻译完成后回填。

将原有文法扩展为：
S→if E then M S
S→if E then M S N else M S
M→ε
N→ε

语法规则定义如下：

以此规则尝试翻译下列语句：
if(A) then (if(B) then C else D) else E

首先列出四元式（也要按照文法分析顺序进行）：

100: if A goto ?
101: goto ?
102: if B goto ?
103: goto ?
104: C
105: goto ?
106: D
107: E
108: goto ?

其中102~106为内部if-else语句翻译出来的四元式。

首先肯定是翻译内部的if-else语句：
第一条语句： bp(B.tr, M.s)

100: if A goto ?
101: goto ?
102: if B goto 104
103: goto ?
104: C
105: goto ?
106: D
107: E
108: goto ?

第二条语句： bp(B.fa, M⁽¹⁾.s)

100: if A goto ?
101: goto ?
102: if B goto 104
103: goto 106
104: C
105: goto ?
106: D
107: E
108: goto ?

第三条语句： tmp=merg(C.chain, N.s)（修改了N.s）
第四条语句： B.chain=merg(tmp, D.chain)（让B.chain链接到了C.chain和D.chain）

然后翻译外层的if-else语句：
第一条语句： bp(A.tr, M.s)

100: if A goto 102
101: goto ?
102: if B goto 104
103: goto 106
104: C
105: goto ?
106: D
107: E
108: goto ?

第二条语句： bp(A.fa, M⁽¹⁾.s)

100: if A goto 102
101: goto 107
102: if B goto 104
103: goto 106
104: C
105: goto ?
106: D
107: E
108: goto ?

第三条语句： tmp=merg(X.chain, N.s)（修改了N.s）
第四条语句： A.chain=merg(tmp, E.chain)（让A.chain链接到了X.chain和E.chain）

从上面的例子可以看出，对于if-else语句的分析是由内而外的。关键在于内部不能确定的跳转到底是哪些。定义chain的目的正是为了记录这些不能确定的四元式。

5.5.4 循环语句的翻译

while语句的翻译
同样进行扩展：
(1) S→while E do M S⁽¹⁾
(2) M→ε

相较于if-else语句要简单些，在内部四元式执行完成之后无条件跳转到开头的判断即可。

5.5.5 简单说明语句的翻译

定义函数FILL：将名字id和属性A登记在符号表中。
定义语义变量ATT：该非终结符的属性。

题型总结

1. LL(1)文法分析

该类题型主要包括左递归消除、回溯消除、构建预测分析表、还原递归分析过程、还原预测分析过程等。

例-1（课后习题4-3改）设文法$G[S]$：
$S\rightarrow A$
$A\rightarrow B|AiB$
$B\rightarrow C|B+C$
$C\rightarrow )A*|($

(1) 将文法$G[S]$改写为LL(1)文法。

分析：改写LL(1)文法第一步——消除左递归。

首先发现$A\rightarrow AiB$存在左递归，于是将第2条规则改写为：
$A\rightarrow BA'$
$A'\rightarrow iBA'|\varepsilon$（注意这里不能没有$\varepsilon$！）

然后第3条规则显然也有左递归，继续改写：
$B\rightarrow CB'$
$B'\rightarrow +CB'|\varepsilon$

至此左递归消除完成。文法变为：
$S\rightarrow A$
$A\rightarrow BA'$
$A'\rightarrow iBA'|\varepsilon$
$B\rightarrow CB'$
$B'\rightarrow +CB'|\varepsilon$
$C\rightarrow )A*|($

下面查看这其中是否有回溯。对于左部相同的两条规则：

• $A'\rightarrow iBA'|\varepsilon$，其$\operatorname{SELECT}$集分别为$\{i\}$和$\{*,$ $ $\}$，无交集（注意这里的$是由$\operatorname{FOLLOW}$集产生的，如果一个非终结符后面可以不跟任何终结符，那么就需要将符号串的结束符$包含到$\operatorname{SELECT}$集中。）
• $B'\rightarrow +CB'|\varepsilon$，其$\operatorname{SELECT}$集分别为$\{+\}$和$\{i,*,$ $ $\}$，无交集。
• $C\rightarrow )A*|($，其$\operatorname{SELECT}$集分别为$\{)\}$和$\{(\}$，无交集。

注意这里的$\operatorname{FOLLOW}$集计算过程。盲目去找很容易漏掉几个。找$\operatorname{FOLLOW}$集不应该只是去找某一个非终结符的$\operatorname{FOLLOW}$集，而是应该从头到尾将所有非终结符的$\operatorname{FOLLOW}$集全部找到，因为一些非终结符的$\operatorname{FOLLOW}$集可以直接加载其他非终结符的$\operatorname{FOLLOW}$集之中。
对于上例中的文法。我们来使用规范化的方式寻找$\operatorname{FOLLOW}$集：

• 对于$S$，其为开始符号，后面本来就可以不跟什么符号，因此$ $\in\operatorname{FOLLOW}(S)$。又有$S\rightarrow A$，因此$A$的$\operatorname{FOLLOW}$集中一定包含$S$的$\operatorname{FOLLOW}$集中的所有元素。注意此时我们并不确定$S$的$\operatorname{FOLLOW}$集中是否只有一个$。

• 对于文法$A\rightarrow BA'$，有$\operatorname{FOLLOW}(A)\subseteq\operatorname{FOLLOW}(A')$，$\operatorname{FIRST}(A')\subseteq\operatorname{FOLLOW}(B)$，其中$\operatorname{FIRST}(A')=\{i,\varepsilon\}$

• 对于文法$B\rightarrow CB'$，有$\operatorname{FIRST}(B')\subseteq\operatorname{FOLLOW}(C)$，其中$\operatorname{FIRST}(B')=\{+,\varepsilon\}$，且有$\operatorname{FOLLOW}(B)\subseteq\operatorname{FOLLOW}(B')$，$\operatorname{FOLLOW}(B')\in\operatorname{FOLLOW}(C)$。

• 对于文法$C\rightarrow )A*|($，有$*\in\operatorname{FOLLOW}(A)$。

• 扩充被$A$影响的$\operatorname{FOLLOW}$集：

• 对于文法$A'\rightarrow iBA'|\varepsilon$，有$\operatorname{FOLLOW}(A')\in\operatorname{FOLLOW}(B)$。

故不存在回溯问题。

最终修改完成的文法为：
$S\rightarrow A$
$A\rightarrow BA'$
$A'\rightarrow iBA'|\varepsilon$
$B\rightarrow CB'$
$B'\rightarrow +CB'|\varepsilon$
$C\rightarrow )A*|($

(2) 求经过改写后的每个非终结符的$\operatorname{FIRST}$集和$\operatorname{FOLLOW}$集，以及每一条规则的$\operatorname{SELECT}$集。

解：$\operatorname{FIRST}$集和$\operatorname{FOLLOW}$集如下：

$\operatorname{SELECT}$集如下：

(3) 写出该文法的递归下降分析程序的$A'$函数、$B'$函数和$C$函数：

解：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

A'(){
	if(sym == 'i'){
		scanner();		// 输入符号串读位置前移一位
		B();
		A'();
	}else if(sym != '*' && sym != '$')
		error();
	else
		scanner();
}

B'(){
	if(sym == '+'){
		C();
		B'();
	}else if(sym != 'i' && sym != '*' && sym != '$')
		error();
}

C(){
	if(sym == '('){
		scanner();
		A();
		scanner();
		if(sym != '*')
			error();
	}else if(sym != ')')
		error();
	scanner();
}

递归下降分析函数需要保证：在任何一个非终结符识别函数刚刚开始执行时，读位置始终指向该非终结符应该识别的第一个字符。因此调整指针的操作应该在上一级函数中实现，这也是$A$函数和$C$函数最后一句scanner()的含义。

(4) 画出预测分析图。

解：可以根据$\operatorname{SELECT}$集直接画出预测分析图：

(5) 使用上面的预测分析图分析输入串)(i(+(*。

解：画图——

成功。

上面的分析流程：如果栈中最上面一个是非终结符，下一步就要根据输入串最前面的字符选择候选式。如果栈中最上面一个是终结符，就和输入串最前面的字符比较，如果相等就相消，如果不等就输出错误。

2. OG文法分析

OG文法没有讲完，后面的素短语等内容没有要求，因此只需要掌握两个集合的求解以及算符优先表的构建即可。

例-2：对于例-1中的文法，求所有非终结符的$\operatorname{FIRSTVT}$集和$\operatorname{LASTVT}$集，并画出算符优先表。

$S\rightarrow A$
$A\rightarrow B|AiB$
$B\rightarrow C|B+C$
$C\rightarrow )A*|($

分析：按照构建两个集合的方法求出所有非终结符的$\operatorname{FIRSTVT}$集和$\operatorname{LASTVT}$集：

构建算符优先表：

3. LR(0)文法

该部分包含LR(0)文法的分析表、活前缀DFA的构建。

例-3：画出例-1中文法的规范句型活前缀DFA以及LR(0)分析表，如果有冲突说明冲突来源，没有冲突说明理由。

$S\rightarrow A$
$A\rightarrow B|AiB$
$B\rightarrow C|B+C$
$C\rightarrow )A*|($

分析：首先拓广，加一条规则：
$S'\rightarrow S$
$S\rightarrow A$
$A\rightarrow B|AiB$
$B\rightarrow C|B+C$
$C\rightarrow )A*|($

然后递归地构建DFA：

• 求出$\operatorname{CLOSURE}(S'\rightarrow\cdot S)=\{S'\rightarrow\cdot S,S\rightarrow\cdot A,A\rightarrow\cdot B,A\rightarrow\cdot AiB,B\rightarrow\cdot C,B\rightarrow\cdot B+C,C\rightarrow\cdot)A*,C\rightarrow\cdot(\}$，作为项目集$I_0$。
• 求出$\operatorname{GOTO}(I_0,S)=\operatorname{CLOSURE}(\{S'\rightarrow S\cdot\})=\{S'\rightarrow S\cdot\}$，作为项目集$I_1$，其没有$\operatorname{GOTO}$函数。
• 求出$\operatorname{GOTO}(I_0,A)=\operatorname{CLOSURE}(\{S\rightarrow A\cdot,A\rightarrow A\cdot iB\})=\{S\rightarrow A\cdot,A\rightarrow A\cdot iB\}$，作为项目集$I_2$。
• 求出$\operatorname{GOTO}(I_0,B)=\operatorname{CLOSURE}\{A\rightarrow B\cdot,B\rightarrow B\cdot +C\}=\{A\rightarrow B\cdot,B\rightarrow B\cdot +C\}$，作为项目集$I_3$。
• 求出$\operatorname{GOTO}(I_0,C)=\operatorname{CLOSURE}\{B\rightarrow C\cdot\}=\{B\rightarrow C\cdot\}$，作为项目集$I_4$，其没有$\operatorname{GOTO}$函数。
• 求出$\operatorname{GOTO}(I_0,")")=\operatorname{CLOSURE}\{C\rightarrow )\cdot A*\}=\{C\rightarrow )\cdot A*,A\rightarrow\cdot B,A\rightarrow\cdot AiB,B\rightarrow\cdot C,B\rightarrow\cdot B+C,C\rightarrow\cdot)A*,C\rightarrow\cdot(\}$，作为项目集$I_5$。
• 求出$\operatorname{GOTO}(I_0,"(")=\operatorname{CLOSURE}\{C\rightarrow (\cdot\}=\{C\rightarrow (\cdot\}$，作为项目集$I_6$，其没有$\operatorname{GOTO}$函数。
• 求出$\operatorname{GOTO}(I_2,i)=\operatorname{CLOSURE}(\{A\rightarrow Ai\cdot B\})=\{A\rightarrow Ai\cdot B\}$，作为项目集$I_7$。
• 求出$\operatorname{GOTO}(I_3,+)=\operatorname{CLOSURE}(\{B\rightarrow B+\cdot C\})=\{B\rightarrow B+\cdot C,C\rightarrow\cdot)A*,C\rightarrow\cdot(\}$，作为项目集$I_8$。
• 求出$\operatorname{GOTO}(I_5, A)=\operatorname{CLOSURE}(\{C\rightarrow)A\cdot*,A\rightarrow A\cdot iB\})=\{C\rightarrow)A\cdot*,A\rightarrow A\cdot iB\}$，作为项目集$I_9$。
• 求出$\operatorname{GOTO}(I_5, B)=\operatorname{CLOSURE}(\{A\rightarrow B\cdot, B\rightarrow B\cdot+C\})=I_3$。
• 求出$\operatorname{GOTO}(I_5, C)=\operatorname{CLOSURE}\{B\rightarrow C\cdot\}=I_4$。
• 求出$\operatorname{GOTO}(I_5, "(")=\operatorname{CLOSURE}(\{C\rightarrow (\cdot\})=I_6$。
• 求出$\operatorname{GOTO}(I_5,")")=\operatorname{CLOSURE}(\{C\rightarrow )\cdot A*\})=I_5$。
• 求出$\operatorname{GOTO}(I_7, B)=\operatorname{CLOSURE}(\{A\rightarrow AiB\cdot\})=\{A\rightarrow AiB\cdot\}$，作为项目集$I_{10}$，其没有$\operatorname{GOTO}$函数。
• 求出$\operatorname{GOTO}(I_8, C)=\operatorname{CLOSURE}(\{B\rightarrow B+C\cdot\})=\{B\rightarrow B+C\cdot\}$，作为项目集$I_{11}$，其没有$\operatorname{GOTO}$函数。
• 求出$\operatorname{GOTO}(I_8, ")")=\operatorname{CLOSURE}(\{C\rightarrow)\cdot A*\})=I_5$。
• 求出$\operatorname{GOTO}(I_8,"(")=\operatorname{CLOSURE}\{C\rightarrow (\cdot\}=I_6$。
• 求出$\operatorname{GOTO}(I_9, i)=\operatorname{CLOSURE}(\{A\rightarrow Ai\cdot B\})=\{A\rightarrow Ai\cdot B,B\rightarrow\cdot C,B\rightarrow\cdot B+C,C\rightarrow\cdot)A*,C\rightarrow\cdot(\}$，作为项目集$I_{12}$。
• 求出$\operatorname{GOTO}(I_9, *)=\operatorname{CLOSURE}(\{C\rightarrow)A*\cdot\})=\{C\rightarrow)A*\cdot\}$，作为项目集$I_{13}$，其没有$\operatorname{GOTO}$函数。
• 求出$\operatorname{GOTO}(I_{12},B)=\{A\rightarrow AiB\cdot,B\rightarrow B\cdot+C\}$，作为项目集$I_{14}$，有$\operatorname{GOTO}(I_{14},+)=I_8$。
• 求出$\operatorname{GOTO}(I_{12},C)=\{B\rightarrow C\cdot\}=I_4$。
• 求出$\operatorname{GOTO}(I_{12},")")=I_5$。
• 求出$\operatorname{GOTO}(I_{12},"(")=I_6$。