iOS逆向
前言:想必大家都知道了,新浪阅读整个业务线砍掉的事情,是的,朕的大清亡了,不过赔偿很到位,也有了幸福感。从北京回到郑州休息好一阵子,思考了一下未来的工作方向,业余时间总结一下所学知识吧。
以下就是学习过程中的笔记!
-
函数的本质
寄存器:64位:x0-x30,XZR(零寄存器)
32位:W0-W30,WZR(零寄存器)
PC寄存器:用来确定CPU即将执行的地址;
改变PC寄存器:使用bl跳转值指令-
栈:是一种具有特殊的访问方式的存储空间(后进先出)
sp寄存器在任一时刻都会保存栈顶的地址;
只要调用函数就会开辟栈空间;系统通过操作SP寄存器,SP往高地址走时都属于栈区域,SP往低地址走时这块区域是没有用的。 -
对内存的操作就是读和写,
-
ldr 把内存数据读到寄存器,str把寄存器写到内存;
-
函数调用完毕,要做栈平衡。
-
fp寄存器也称为x29寄存器属于通用寄存器,在某一时刻我们可以利用它保存栈底地址。
-
bl和ret指令
bl标号:- 将下一条指令的地址放到lr(x30)寄存器;
- 转到标号处执行。
ret指令:
- 默认使用x30中的值,x30放的是回去的路。
-
解读一下:
stp x29, x30, [sp, #-0x10]!
- 将x29,x30放到sp减去0x10的位置并且sp减去0x10
什么条件才能这样写?
- 栈空间只需要保护29和30,没有额外的栈空间;也就是函数里面只是一个简单的调用,没有局部变量。
ldr x30, [sp], #0x10
- [sp]表示:把它当作内存地址,取出其中的值
函数的参数与返回值:
什么时候节约内存:写入到栈区,写入到内存时。
寄存器不存在节约内存。
寄存器里面有个运算器
- 参数 x0-x7,w0-w7
补充:
返回值 x0
补充:
sp栈顶
x29栈底
orr = mov
为什么参数最好8个?
- 通过寄存器的访问是最高效的
还原高级代码
函数调用栈
eg:main函数参数入栈:保护现场;
当函数参数多的时候x0-x7放到栈区域进行保护
先放参数、再放局部变量
-
栈里面存在野指针?
eg1:用4个字节去访问8字节的地址;
eg2:一个指针指向垃圾地址。
栈里面一般不存放真实的结构体数据(不过在函数内部也可能有纯粹的结构体,一般我们使用的第三方框架都是使用malloc开辟内存区域,再去创建结构体放到里面),一般存放简单的引用型数据(指针)。 -
什么时候29、30需要保护?
有嵌套调用的时候。 -
什么时候用到更多的栈?
当有参数和局部变量的时候。
-
状态寄存器(又称:标记寄存器):当前执行方法的状态
32位寄存器的最高4位- N:记录相关的指令执行结束后,结果是否位负,如果为负
- N=1
- Z:计算结果如果为0,Z=1
- C:无符号加法进位,C=1;无符号减法有借位C=0;
- V:有符号溢出标记,有溢出V=1;
正+正=负 v=1
负-负=正 v=1
-
if指令可以改变标志寄存器
add sub orr 会影响标志寄存器 -
内存:
- 代码区:存放代码、可读可写
- 栈区:放参数、局部变量、临时数据
- 堆区:动态申请
- 常量区:只读
带#就是立即数(数字)
解读:adrp x0, 1
- 1、将pc寄存器的值低12位清0
- 2、将1左移12位
- 3、将整两个值相加,赋值给x0寄存器
方法编号:是个字符串常量存放在MackO文件里面
虚拟内存和物理内存
虚拟内存:
物理内存:
adrp x0, #0x1
adrp里面要么是全局变量要么是局部变量要么就是一个对象的属性。
image.png
-
全局变量和常量
- 一般内存中获取全局变量和常量时,出现adrp和add两条指令获得一个地址的情况。
- ADRP(Address Page)
-
adrp x0, 1- 将1的值,左移12位!16进制就是0x1000
- 将当前PC寄存器低12位清0
- 将以上两个结果相加,存放到x0寄存器
-
通过ADD指令,获取这页内存中的偏移。-
image.png
-
image.png
使用hopper还原高级代码:
-
- 一句一句还原成高级代码。
先看main函数在bl调用func时有木有把参数传进去,有说明有参数。再看func函数体内有木有对x0做操作,一般情况下如果有说明有返回值(可能会在栈里面)但是不能确定返回值类型,可以确定方法编号,从中确定返回值类型。 - 由下到上简化
-
CMP比较指令:把一个寄存器的内容和另一个寄存器的内容或立即数进行比较,但不存储结果,只是正确的更改标志寄存器,底层做的是减法运算。
- B.LE标号: 标记结果是小于等于,执行标号,否则不跳转
- B.LT标号: 标记结果是小于,执行标号,否则不跳转
- B.GE标号: 标记结果是大于等于,执行标号,否则不跳转
- B.GT标号: 标记结果是大于,执行标号,否则不跳转
- B.EQ标号: 标记结果是等于,执行标号,否则不跳转
- B.NQ标号: 标记结果是不等于,执行标号,否则不跳转
- B.HI标号: 标记结果是无符号大于,执行标号,否则不跳转
- 稍后补充....
adrp x30, #0x100008000 add x30, x30, #0xcf0 还原成高级代码为:int *x30 = &g;-
循环&选择
- cmp和subs区别?cmp不会保存结果,subs会保存结果。
- do while判断条件在后面,满足条件往前跳
- while和for很像,判断条件在前面,满足条件往前跳
-
switch
- 分之少于3个没有意义和if else很像
- 各个分支常量差值比较大时,编译器会在内存和效率之间取舍
- 分支较多时,编译器会生成一个表,进行跳转
-
代码优化
- 非本文件的函数或代码编译器不会优化
-
指针
- 指针可以做简单的运算。如:自增/自减
-
block反汇编:最主要的是找到invoke(实现地址)、signature(类型),进而重写block,hook别人的block。
- 先看一下block源码
#define BLOCK_DESCRIPTOR_1 1 struct Block_descriptor_1 { uintptr_t reserved; uintptr_t size; }; #define BLOCK_DESCRIPTOR_2 1 struct Block_descriptor_2 { // requires BLOCK_HAS_COPY_DISPOSE BlockCopyFunction copy; BlockDisposeFunction dispose; }; struct Block_descriptor_3 { // requires BLOCK_HAS_SIGNATURE const char *signature; const char *layout; // contents depend on BLOCK_HAS_EXTENDED_LAYOUT }; struct Block_layout { void *isa; volatile int32_t flags; // contains ref count int32_t reserved; BlockInvokeFunction invoke;//实现地址! struct Block_descriptor_1 *descriptor; // imported variables };- 寻找invoke和signature
实例一: 高级代码如下:
int main(int argc, char * argv[]) { void (^block)(void) = ^(){ NSLog(@"nslog"); }; block(); return 0; }汇编代码如下:
0x1000ba2a0 <+12>: adrp x8, 2 0x1000ba2a4 <+16>: add x8, x8, #0x70 ; =0x70 0x1000ba2a8 <+20>: stur wzr, [x29, #-0x4] 0x1000ba2ac <+24>: stur w0, [x29, #-0x8] 0x1000ba2b0 <+28>: str x1, [sp, #0x10] -> 0x1000ba2b4 <+32>: mov x0, x8 0x1000ba2b8 <+36>: bl 0x1000ba5fc ; symbol stub for: objc_retainBlock 0x1000ba2bc <+40>: str x0, [sp, #0x8] 0x1000ba2c0 <+44>: ldr x8, [sp, #0x8] 0x1000ba2c4 <+48>: mov x0, x8 0x1000ba2c8 <+52>: ldr x8, [x8, #0x10] 0x1000ba2cc <+56>: blr x8(lldb) x 0x1000bc070 0x1000bc070: 18 86 f9 9f 01 00 00 00 00 00 00 50 00 00 00 00 ...........P.... 0x1000bc080: f8 a2 0b 00 01 00 00 00 50 c0 0b 00 01 00 00 00 ........P.......(lldb) dis -s 0x01000ba2f8 反汇编`__main_block_invoke: 0x1000ba2f8 <+0>: sub sp, sp, #0x20 ; =0x20 0x1000ba2fc <+4>: stp x29, x30, [sp, #0x10] 0x1000ba300 <+8>: add x29, sp, #0x10 ; =0x10 0x1000ba304 <+12>: str x0, [sp, #0x8] 0x1000ba308 <+16>: str x0, [sp] 0x1000ba30c <+20>: adrp x0, 2 0x1000ba310 <+24>: add x0, x0, #0xb0 ; =0xb0 0x1000ba314 <+28>: bl 0x1000ba5a8 ; symbol stub for: NSLog实例二: 高级代码如下:
int main(int argc, char * argv[]) { int a = 10; void (^block)(void) = ^(){ NSLog(@"nslog--%d", a); }; block(); return 0; }汇编代码如下:
0x10004a24c <+12>: adrp x8, 2 0x10004a250 <+16>: add x8, x8, #0x58 ; =0x58 0x100082254 <+20>: adrp x9, 0 0x100082258 <+24>: add x9, x9, #0x2e0 ; =0x2e0(lldb) x 0x100084058 0x100084058: 00 00 00 00 00 00 00 00 24 00 00 00 00 00 00 00 ........$....... 0x100084068: 8c 3f 08 00 01 00 00 00 fb 33 08 00 01 00 00 00 .?.......3......(lldb) x 0x1000822e0 0x10004a2e0: ff c3 00 d1 fd 7b 02 a9 fd 83 00 91 a0 83 1f f8 .....{.......... 0x10004a2f0: e8 03 00 aa e8 0b 00 f9 09 20 40 b9 e0 03 09 aa ......... @.....(lldb) p (char *)0x0100083f8c (char *) $1 = 0x0000000100083f8c "v8@?0"dis -s 0x1000822e0 反汇编`__main_block_invoke: 0x1000822e0 <+0>: sub sp, sp, #0x30 ; =0x30 0x1000822e4 <+4>: stp x29, x30, [sp, #0x20] 0x1000822e8 <+8>: add x29, sp, #0x20 ; =0x20 0x1000822ec <+12>: stur x0, [x29, #-0x8] 0x1000822f0 <+16>: mov x8, x0 0x1000822f4 <+20>: str x8, [sp, #0x10] 0x1000822f8 <+24>: ldr w9, [x0, #0x20] 0x1000822fc <+28>: mov x0, x9
