捣鼓了一段时间的iOS逆向相关的东西,在动态分析过程中会阅读汇编代码,分析代码的执行流程,在此记录下阅读汇编代码过程中经常遇到的一些指令。
当然如果不玩逆向也有必要学习汇编,在定位某些crash问题的时候会很有帮助,比如有时候程序挂在系统库里面,如果能读懂汇编代码,再利用一些调试技巧,可会达到意想不到的效果。
除此之外,学习汇编有利于帮助自己更深层次的理解程序,理解计算机。
说明:下面所描述的都是在arm64架构的汇编指令,在arm32或者x86架构会有所区别。
寄存器
在arm64架构下,所有的寄存器都是64位,并且每个寄存器都有名字的,按照功能来划分,可分为一下几类,分别为:
- 通用寄存器
- 程序计数器
- 堆栈指针
- 链接寄存器
- 程序状态寄存器
- 零寄存器
下面分别说明这些寄存器的作用
通用寄存器
64bit : x0 ~ x28 ,每个寄存器都是64bit
32bit:w0 ~ w28,实际上是x0~x28寄存器的低32bit
x0~x7:通过用来存储函数的参数,如果函数有更多的参数使用堆栈来传递
x0:通常用来存放函数的返回值
程序计数器
程序计数器叫Program Counter,俗称PC,也就是x32寄存器,存储着CPU当前正在执行的地址。
堆栈指针
SP (Stack Pointer),就是x31寄存器,存储的是栈顶的地址
FP (Frame Pointer),FP也就是x29寄存器,存储着栈底的地址
随着函数的调用,SP、FP会不断的变化。
链接寄存器
LR(Link Register),也就是x30寄存器,存储着函数的返回地址。
当函数结束时,就是通过LR寄存器的值,跳转到调用函数的位置继续往下执行。
程序状态寄存器
CPSR (Current Program Status Register),各个bit的含义如下图:
SPSR (Saved Program Status Register),在异常状态下使用,当发生异常时,会把CPSR的内容写入SPSR, 等异常恢复之后,又会把SPSR写会到CPSR中。
零寄存器
WZR
XZR
里面存储的值都是0。
常用指令
算术运算指令
mov 赋值指令
mov x0, #2 // 把2这个值赋值给x0寄存器
mov x0, x1 // 把x1寄存器中的值赋值给x0寄存器中
add
两个操作数相加,相加的结果存放到一个寄存器中
add, x2, x0, x1 //把x0的值与x1的值相加,得到的结果存放到x2寄存器中
add, x2, x0, #3 // 把x0的值与3相加,得到的结果存放到x2寄存器中
sub
第一个操作数减第一个操作数,得到的结果存放到一个寄存器中
sub, x2, x1, x0 // x1的值减去x0的值,得到的结果存放到*x2*寄存器中
sub, x2, x1, #4 // x1的值减去4,得到的结果存放到x2寄存器中
mul 乘法指令
mul x3, x1, x2 // x1 乘以 x2 的结果存放在 x3 中
sdiv 除法指令
sdiv w0, w0, w1 // w0 除以 w1 的结果存放在 w0 中
逻辑运算指令
这里的运算是指位运算
- LSL 逻辑左移
按操作数所指定的数量向左移位,低位用零来填充 - ASL 算术左移
通逻辑左移,ASL 与 LSL等价
lsl x0, x0, #1
asl x1, x1, x0
LSR 逻辑右移
按操作数所指定的数量向右移位,左端用零来填充。ASR 算术右移
按操作数所指定的数量向右移位,左端用最高位位的值来填充 ,如果是负数,最高位为1
lsr w1, w2, #1
asr x1, x2, #2
- ROR 循环右移
按操作数所指定的数量向右循环移位, 左端用右端移出的位来填充。其中,操作数可以是通用寄存器,也可以是立即数。 当进行寄存器bit位数的循环右移操作时,通用寄存器中的值不改变。
ror x0, #6
ror w0, #32 // 循环移动了32位,w0的值不变
跳转指令
ret
相当于高级编程语言的return,函数返回。
cmp
将两个操作数相减,相减的结果会影响cpsr 寄存器的标志位,当结果小于0时,CPSR寄存器的N位为1, 等于0时, CPSR寄存器的Z为位1。
cmp x0, x1
b
跳转指令,跳转找指定的标记处执行;可以带条件跳转,一般跟cmp配合使用,使用到的条件域如下:
- EQ:equal
- NE:not equal
- GT:great than
- GE:great equal
- LT:less than
- LE:less equal
普通跳转
b testCode,testCode是汇编代码中的一个标记
条件跳转,当x0和x1的值相等时,才跳转到testCode标记处执行代码
cmp x0, x1
beq testCode
bl
带返回值的跳转指令,这个指令会做两个操作
- 将下一条指令的地址存储到lr (x30)寄存器中
- 跳转到标记处开始执行代码
bl testCode,当执行完testCode标记处代码后,又会返回来执行bl指令下面的指令。
内存操作
load从内存中读取数据
- ldr 地址没有偏移或者偏移为正数时使用
- ldur 地址偏移为负数时使用
a)str x5 [x0]x0中是内存的地址,读取的值存放在x5寄存器中, x寄存器读取8个字节
b)str w6 [x0]x0中是内存的地址,读取的值存放在w5寄存器中, w寄存器读取4个字节
说明: 地址还可以偏移 str x5 [x0, #0x4] , stur x5 [x0, #-0x4] , 偏移量为正数往高地址偏移,使用str指令、偏移量为负数往低地址偏移,使用stur指令。
- ldp 从指定内存中读取数据到一对寄存器中, p 是 pair的意思,这一对寄存器必须是同类型的,要么x类型, 要么w类型。其中低位读取到第一个寄存器、高位读取到第二个寄存器
ldp w5, w6, [x0], 地址可以偏移ldp x5, x6, [x0, #-x04]
store 往指定的内存写入数据
- str
str x1, [x0]
str w2, [x1]
str w3, [x1, #4]
- stur
stur x3, [x0, #-4]
stur w2, [x1, #-4]
- stp
stp x2, x3, [x0]
stp w4, w5, [x0]
使用方法与从内存中读取数据类似,只不过是往内存写入数据。
总结
本文整理了一些在逆向iOS程序时常见的一些汇编指令,当然在实际逆向的过程所看到的汇编指令更加复杂,比如还有函数调用栈,这是下篇的内容。如有错误请指正。
Refrence
- iOS开发同学的arm64汇编入门 - 刘坤的技术博客
- ARM汇编电子书