前言

前面已经对理论知识进行了详细的讲解，但仅仅有理论是不够的。计算器在正常使用的情况下不会自发出现问题，让栈的值发生变化。因此我们还需要实事求是的了解那些可以达到修改栈值的bug。

备注

为了节约篇幅，如果出现副功能（按下 SHIFT 或 ALPHA 才能调用的功能），我会直接写出副功能的名字。同时，本节只写了对于达成编程目的所必须的bug，还有许多实用性的或娱乐性的bug将放在其他节中。

Bug一览

通用

1. 基本溢出

操作很简单：利用某种方式使输入区中的式子长度超过 99 后按下等号。
这些方式包括但不仅限于：

1. 利用光标位置溢出在空字符后面输入大量符号，然后将光标移至这串符号前面后用删除键将其删除到输入区式子处并与之合并；
2. 在光标溢出模式下填满缓冲区，并按下AC、左（右），计算器会将缓冲区的式子复制到输入区（调用strcpy(0x81B0, 0x8154)）。但是由于此时是从后往前复制，不会产生无限复制的后果。

在前面提到过，基本溢出会导致计算器根据输入区的内容执行特定的函数。因此，远在相关原理被发现之前，吧友就已经发现在基本溢出状态下改变输入区的内容会使计算器产生不同的效果。ROP的目的，就是掌握构造输入区式子的方法，使计算器产生我们想要的效果。

fx-991ES PLUS

1. 光标位置溢出（又称光标溢出、光标位置异常、基本溢出等）

操作如下：
(1) 初始化计算器。(CLR(SHIFT, 9), 3, =, AC)
(2) 更改计算器的结果显示模式为LineIO。(SETUP, 2)
(3) 输入式子：X=∑(X,0,00) 。如图：

示例1

示例2

示例3

示例3

2. 刷不稳定字符

步骤：
(1) 进入光标溢出
(2) 输入91个任意符号（建议使用连续的数字以便于计数），之后应该会在后方出现原式，证明我们已到达Cache区。如图：

示例4

(3) 在此处做标记（使用一些长相明显不同的符号，如小数点、逗号等），再输入包含标记所用符号在内的总共108个符号，以完全覆盖Cache区和随机数种子的静态部分
(4) 此时重复按下方向右键，可以看见有一个符号在按照符号表顺序增大，这就是不稳定字符（可以将不稳定字符后面的东西删掉，方便操作）
(5) 用最接近且小于代刷符号的符号覆盖不稳定字符（若要刷的符号前面已经没有可以直接输入的字符，则可以删除不稳定字符，从空字符开始）
(6) 有节奏地（或数光标闪烁的次数）反复按方向右键，直到不稳定字符变为代刷字符
(7) 迅速按下方向左键和DEL键，使代刷符号脱离不稳定字符位置，将其移动至安全区域
(8) 若还有更多要刷的符号，可以算好间距后再次重复上述操作

用途：获得无法正常打出的字符。

fx-82ES PLUS A

1. 异常STAT模式

该模式在991上也存在，但目前暂未发现用途，况且对于我们的目的——基本溢出来说，991不需要使用异常STAT即可达到，但82+A必须使用该方法。
步骤：
(1) 重置计算器(CLR, 3, AC)
(2) MODE, 2. 此时屏幕上显示1:VAR 2:A+BX......等内容
(3) 按下AC键，约0.5秒后按下on，中断AC过程
(4) 观察是否成功。若仍然处于COMP模式，则表明on按下过快，回到(2)；若处于STAT模式，则按下SHIFT+1，进入STAT菜单，观察第5项是否为5: Reg。若是，则表明异常STAT模式进入成功。否则表明on按下过慢，应返回(1)重新开始

用途：进入光标位置溢出、BASE-N、68模式等

2.光标位置溢出

与991的光标位置溢出类似。
步骤：
(1) 进入异常STAT模式
(2) 输入(1)(1)r(或AAr等)
(3)(可选) 在原式子后面输入任意符号，使式子的总长度到达62，然后做上标记，再输入共10个符号，使整个式子的长度达到72
(4) 按下等号键（会报错AC键中断或语法错误），左（或右）。
此时光标位于位置172处，距不稳定字符位置约36个符号，其余细节同991的光标位置溢出。