iOS逆向

前言:想必大家都知道了,新浪阅读整个业务线砍掉的事情,是的,朕的大清亡了,不过赔偿很到位,也有了幸福感。从北京回到郑州休息好一阵子,思考了一下未来的工作方向,业余时间总结一下所学知识吧。

以下就是学习过程中的笔记!

  • 函数的本质
    寄存器:64位:x0-x30,XZR(零寄存器)
    32位:W0-W30,WZR(零寄存器)
    PC寄存器:用来确定CPU即将执行的地址;
    改变PC寄存器:使用bl跳转值指令

    • 栈:是一种具有特殊的访问方式的存储空间(后进先出)
      sp寄存器在任一时刻都会保存栈顶的地址;
      只要调用函数就会开辟栈空间;系统通过操作SP寄存器,SP往高地址走时都属于栈区域,SP往低地址走时这块区域是没有用的。

    • 对内存的操作就是读和写,

    • ldr 把内存数据读到寄存器,str把寄存器写到内存;

    • 函数调用完毕,要做栈平衡。

    • fp寄存器也称为x29寄存器属于通用寄存器,在某一时刻我们可以利用它保存栈底地址。

    • bl和ret指令
      bl标号:

      • 将下一条指令的地址放到lr(x30)寄存器;
      • 转到标号处执行。

      ret指令:

      • 默认使用x30中的值,x30放的是回去的路。

解读一下:
stp x29, x30, [sp, #-0x10]!

  • 将x29,x30放到sp减去0x10的位置并且sp减去0x10

什么条件才能这样写?

  • 栈空间只需要保护29和30,没有额外的栈空间;也就是函数里面只是一个简单的调用,没有局部变量。

ldr x30, [sp], #0x10

  • [sp]表示:把它当作内存地址,取出其中的值

函数的参数与返回值:
什么时候节约内存:写入到栈区,写入到内存时。
寄存器不存在节约内存。
寄存器里面有个运算器

  • 参数 x0-x7,w0-w7
    补充:
    返回值 x0
    补充:
    sp栈顶
    x29栈底
    orr = mov

为什么参数最好8个?

  • 通过寄存器的访问是最高效的

还原高级代码
函数调用栈
eg:main函数参数入栈:保护现场;
当函数参数多的时候x0-x7放到栈区域进行保护
先放参数、再放局部变量

  • 栈里面存在野指针?
    eg1:用4个字节去访问8字节的地址;
    eg2:一个指针指向垃圾地址。
    栈里面一般不存放真实的结构体数据(不过在函数内部也可能有纯粹的结构体,一般我们使用的第三方框架都是使用malloc开辟内存区域,再去创建结构体放到里面),一般存放简单的引用型数据(指针)。

  • 什么时候29、30需要保护?
    有嵌套调用的时候。

  • 什么时候用到更多的栈?
    当有参数和局部变量的时候。

  • 状态寄存器(又称:标记寄存器):当前执行方法的状态
    32位寄存器的最高4位

    • N:记录相关的指令执行结束后,结果是否位负,如果为负
    • N=1
    • Z:计算结果如果为0,Z=1
    • C:无符号加法进位,C=1;无符号减法有借位C=0;
    • V:有符号溢出标记,有溢出V=1;
      正+正=负 v=1
      负-负=正 v=1
  • if指令可以改变标志寄存器
    add sub orr 会影响标志寄存器

  • 内存:

    • 代码区:存放代码、可读可写
    • 栈区:放参数、局部变量、临时数据
    • 堆区:动态申请
    • 常量区:只读

带#就是立即数(数字)

解读:adrp x0, 1

  • 1、将pc寄存器的值低12位清0
  • 2、将1左移12位
  • 3、将整两个值相加,赋值给x0寄存器

方法编号:是个字符串常量存放在MackO文件里面

虚拟内存和物理内存
虚拟内存:
物理内存:
adrp x0, #0x1
adrp里面要么是全局变量要么是局部变量要么就是一个对象的属性。

image.png

  • 全局变量和常量

    • 一般内存中获取全局变量和常量时,出现adrp和add两条指令获得一个地址的情况。
    • ADRP(Address Page)
      • adrp x0, 1

        • 将1的值,左移12位!16进制就是0x1000
        • 将当前PC寄存器低12位清0
        • 将以上两个结果相加,存放到x0寄存器
      • 通过ADD指令,获取这页内存中的偏移。-
        iOS逆向_第1张图片
        image.png
      • iOS逆向_第2张图片
        image.png

        使用hopper还原高级代码:

    • 一句一句还原成高级代码。
      先看main函数在bl调用func时有木有把参数传进去,有说明有参数。再看func函数体内有木有对x0做操作,一般情况下如果有说明有返回值(可能会在栈里面)但是不能确定返回值类型,可以确定方法编号,从中确定返回值类型。
    • 由下到上简化
  • CMP比较指令:把一个寄存器的内容和另一个寄存器的内容或立即数进行比较,但不存储结果,只是正确的更改标志寄存器,底层做的是减法运算。

    • B.LE标号: 标记结果是小于等于,执行标号,否则不跳转
    • B.LT标号: 标记结果是小于,执行标号,否则不跳转
    • B.GE标号: 标记结果是大于等于,执行标号,否则不跳转
    • B.GT标号: 标记结果是大于,执行标号,否则不跳转
    • B.EQ标号: 标记结果是等于,执行标号,否则不跳转
    • B.NQ标号: 标记结果是不等于,执行标号,否则不跳转
    • B.HI标号: 标记结果是无符号大于,执行标号,否则不跳转
    • 稍后补充....
  •  adrp x30, #0x100008000
     add x30, x30, #0xcf0
     还原成高级代码为:int *x30 = &g;
    
  • 循环&选择

    • cmp和subs区别?cmp不会保存结果,subs会保存结果。
    • do while判断条件在后面,满足条件往前跳
    • while和for很像,判断条件在前面,满足条件往前跳
  • switch

    • 分之少于3个没有意义和if else很像
    • 各个分支常量差值比较大时,编译器会在内存和效率之间取舍
    • 分支较多时,编译器会生成一个表,进行跳转
  • 代码优化

    • 非本文件的函数或代码编译器不会优化
  • 指针

    • 指针可以做简单的运算。如:自增/自减
  • block反汇编:最主要的是找到invoke(实现地址)、signature(类型),进而重写block,hook别人的block。

    • 先看一下block源码
      #define BLOCK_DESCRIPTOR_1 1
      struct Block_descriptor_1 {
      uintptr_t reserved;
      uintptr_t size;
      };
    
      #define BLOCK_DESCRIPTOR_2 1
      struct Block_descriptor_2 {
      // requires BLOCK_HAS_COPY_DISPOSE
      BlockCopyFunction copy;
      BlockDisposeFunction dispose;
      };
      struct Block_descriptor_3 {
        // requires BLOCK_HAS_SIGNATURE
        const char *signature;
        const char *layout;   // contents depend on 
         BLOCK_HAS_EXTENDED_LAYOUT
        };
       struct Block_layout {
        void *isa;
        volatile int32_t flags; // contains ref count
        int32_t reserved;
        BlockInvokeFunction invoke;//实现地址!
        struct Block_descriptor_1 *descriptor;
       // imported variables
       };
    
    • 寻找invoke和signature
      实例一: 高级代码如下:
     int main(int argc, char * argv[]) {
         void (^block)(void) = ^(){
             NSLog(@"nslog");
          };
          block();
          return 0;
      }
    

    汇编代码如下:

     0x1000ba2a0 <+12>: adrp   x8, 2
     0x1000ba2a4 <+16>: add    x8, x8, #0x70             ; =0x70 
     0x1000ba2a8 <+20>: stur   wzr, [x29, #-0x4]
     0x1000ba2ac <+24>: stur   w0, [x29, #-0x8]
     0x1000ba2b0 <+28>: str    x1, [sp, #0x10]
     ->  0x1000ba2b4 <+32>: mov    x0, x8
     0x1000ba2b8 <+36>: bl     0x1000ba5fc               ; symbol 
    stub for: objc_retainBlock
     0x1000ba2bc <+40>: str    x0, [sp, #0x8]
     0x1000ba2c0 <+44>: ldr    x8, [sp, #0x8]
     0x1000ba2c4 <+48>: mov    x0, x8
     0x1000ba2c8 <+52>: ldr    x8, [x8, #0x10]
     0x1000ba2cc <+56>: blr    x8
    
    (lldb) x 0x1000bc070 
    0x1000bc070: 18 86 f9 9f 01 00 00 00 00 00 00 50 00 00 
    00 00  ...........P....
    0x1000bc080: f8 a2 0b 00 01 00 00 00 50 c0 0b 00 01 00 
    00 00  ........P.......
    
    (lldb) dis -s 0x01000ba2f8
    反汇编`__main_block_invoke:
    0x1000ba2f8 <+0>:  sub    sp, sp, #0x20             ; =0x20 
    0x1000ba2fc <+4>:  stp    x29, x30, [sp, #0x10]
    0x1000ba300 <+8>:  add    x29, sp, #0x10            ; =0x10 
    0x1000ba304 <+12>: str    x0, [sp, #0x8]
    0x1000ba308 <+16>: str    x0, [sp]
    0x1000ba30c <+20>: adrp   x0, 2
    0x1000ba310 <+24>: add    x0, x0, #0xb0             ; =0xb0 
    0x1000ba314 <+28>: bl     0x1000ba5a8               ; symbol stub for: NSLog
    

    实例二: 高级代码如下:

     int main(int argc, char * argv[]) {
         int a = 10;
         void (^block)(void) = ^(){
            NSLog(@"nslog--%d", a);
         };
         block();
         return 0;
    }
    

    汇编代码如下:

      0x10004a24c <+12>:  adrp   x8, 2
      0x10004a250 <+16>:  add    x8, x8, #0x58             ; =0x58 
      0x100082254 <+20>:  adrp   x9, 0
      0x100082258 <+24>:  add    x9, x9, #0x2e0            ; 
      =0x2e0 
    
    (lldb) x 0x100084058
     0x100084058: 00 00 00 00 00 00 00 00 24 00 00 00 00 00 
     00 00  ........$.......
     0x100084068: 8c 3f 08 00 01 00 00 00 fb 33 08 00 01 00 
     00 00  .?.......3......
    
    (lldb) x 0x1000822e0
     0x10004a2e0: ff c3 00 d1 fd 7b 02 a9 fd 83 00 91 a0 83 1f 
     f8  .....{..........
     0x10004a2f0: e8 03 00 aa e8 0b 00 f9 09 20 40 b9 e0 03 
     09 aa  ......... @.....
    
     (lldb) p (char *)0x0100083f8c
     (char *) $1 = 0x0000000100083f8c "v8@?0"
    
     dis -s 0x1000822e0
     反汇编`__main_block_invoke:
     0x1000822e0 <+0>:  sub    sp, sp, #0x30             ; =0x30 
     0x1000822e4 <+4>:  stp    x29, x30, [sp, #0x20]
     0x1000822e8 <+8>:  add    x29, sp, #0x20            ; =0x20 
     0x1000822ec <+12>: stur   x0, [x29, #-0x8]
     0x1000822f0 <+16>: mov    x8, x0
     0x1000822f4 <+20>: str    x8, [sp, #0x10]
     0x1000822f8 <+24>: ldr    w9, [x0, #0x20]
     0x1000822fc <+28>: mov    x0, x9
    

你可能感兴趣的:(iOS逆向)