思索了两个晚上，一直没有弄清几万条指令里唯一的 [x27, #80] 来自哪里，结合上下文判定是个全局变量，通过动态调试给main传参数，确认参数 s 时会改变 [x27, #80] 的值，由 0 变 1。于是反推到 case 's' 处，发现此关联。以后找 arm 汇编的全局变量，用全局变量基址找关联更容易一些。

x23 :
  40200c:    d00001d7     adrp    x23, 43c000 <memcpy@GLIBC_2.17>
  402018:    9121c2f7     add    x23, x23, #0x870            // x23=0x43c870

    case 's':
  402464:    52800020     mov    w0, #0x1                       // #1
  402468:    b90052e0     str    w0, [x23, #80]      // gvar_80 = 1
  40246c:    17fffeef     b    402028 <ferror@plt+0x148>*/

x27 :
  4020e8:    d00001c0     adrp    x0, 43c000 <memcpy@GLIBC_2.17>
  4020ec:    9121c01b     add    x27, x0, #0x870         // x27=0x43c870

  402600:    b9405360     ldr    w0, [x27, #80]      // w0=gvar_80;

偏移都是 80 ，但因 x* 变了，逆向时不好找到关联。与 intel 指令比起来，多了一层基址 0x43c870 。