一步一步用debugserver + lldb代替gdb进行动态调试(整理与补充)

原文章出处:http://bbs.iosre.com/t/debugserver-lldb-gdb/65/12

*** 以下部分内容摘自《iOS应用逆向工程》第二版，以iOS 8为环境编写，应该也支持iOS 7，请大家注意。 ***

因为Apple已经弃gdb投lldb，所以随着我动态调试的次数越来越频繁，gdb上一个接一个的bug经常会让人很恼火。既然苹果打算建立自己的调试器王国，也投入了财力精力，那我们干脆也上手lldb玩玩，看看lldb是不是比gdb要更好用:lol:（以下操作在iPhone 5，iOS 8.1上测试，方法同样适用于arm64。更多内容请参照iphonedevwiki24）

一、配置debugserver与ARMDisassembler.framework

1. 在iOS中安装debugserver
debugserver运行在iOS上，顾名思义，它作为服务端，实际执行LLDB（作为客户端）传过来的命令，再把执行结果反馈给LLDB，显示给用户，即所谓的“远程调试”。在默认情况下，iOS上并没有安装debugserver，只有在设备连接过一次Xcode，并在Window→Devices菜单中添加此设备后，debugserver才会被Xcode安装到iOS的“/Developer/usr/bin/”目录下。

补充 :
首先来配置下设备上的调试环境，从xcode的/Developer/Platforms/iPhoneOS.platform/DeviceSupport/3.2目录下找到DeveloperDiskImage.dmg文件，而3.2则是对应的ios设备上的系统版本，在DeviceSupport目录下通常会包含如如2所示的版本列表：

图02
在实际的调试过程中只需要选择相应的版本就可以了。在每个目录下都存在一个DeveloperDiskImage.dmg文件，用ultraiso打开这个文件可以看到如图3的文件目录列表：

图3
在调试的过程中需要将整个dmg文件下的所有目录和文件拷贝到设备上的/Developer目录下，如图4所示。这一步可以使用ios的文件管理工具，或者使用winscp上传文件，不建议使用后者，太卡了～，如果使用过xcode开发调试过程序那么这个目录下的所有东西应该都是存在的，可以无需手工复制。

图4

1. 帮debugserver减肥
   对照下表，记下设备的ARM信息。
   
   Screen-Shot-2015-03-24-at-6.53.01-PM.png 667x645 11.9 KB
   
   我的iPhone 5对应的ARM是armv7s。将未经处理的debugserver从iOS拷贝到OSX中的“/Users/snakeninny/”目录下：

snakeninnysiMac:~ snakeninny$ scp root@iOSIP:/Developer/usr/bin/debugserver ~/debugserver

然后帮它减肥：

snakeninnysiMac:~ snakeninny$ lipo -thin armv7s ~/debugserver -output ~/debugserver

注意把这里的“armv7s”换成你的设备所对应的ARM。

1. 给debugserver添加task_for_pid权限
   下载ent.xml (381 Bytes) 到OSX的“/Users/snakeninny/”目录，然后运行：

snakeninnysiMac:~ snakeninny$ /opt/theos/bin/ldid -Sent.xml debugserver

注意，此处的ldid27来自joedj，且“-S”选项与“ent.xml”之间是没有空格的。

补充:ent.xml文件内容

        com.apple.springboard.debugapplications
       
        get-task-allow
       
        task_for_pid-allow
       
        run-unsigned-code
       

正常情况下，上面这条命令会在5秒内执行完毕。如果ldid卡住了，执行超时，就换一种方案：下载ent.plist (366 Bytes) 到“/Users/snakeninny/”，然后运行：

snakeninnysiMac:~ snakeninny$ codesign -s - --entitlements ent.plist -f debugserver

补充:实际测试ldid就卡住了,采用第二种方案:codesign通用.ent.plist文件内容





    com.apple.springboard.debugapplications
    
    run-unsigned-code
    
    get-task-allow
    
    task_for_pid-allow
    

1. 将经过处理的debugserver拷回iOS
   将经过处理的debugserver拷回iOS，并添加执行权限，命令如下：

snakeninnysiMac:~ snakeninny$ scp ~/debugserver root@iOSIP:/usr/bin/debugserver
snakeninnysiMac:~ snakeninny$ ssh root@iOSIP
FunMaker-5:~ root# chmod +x /usr/bin/debugserver

这里之所以把处理过的debugserver存放在iOS的“/usr/bin/”下，而没有覆盖“/Developer/usr/bin/”下的原版debugserver，一是因为原版debugserver是不可写的，无法覆盖；二是因为“/usr/bin/”下的命令无须输入全路径就可以执行，即在任意目录下运行“debugserver”都可启动处理过的debugserver。

拷贝ARMDisassembler.framework

将DeveloperDiskImage.dmg中的/Library/PrivateFrameworks/ARMDisassembler.framework拷贝到手机上/System/Library/PrivateFrameworks 目录下。

二、在iOS上用debugserver来attach进程
debugserver + lldb调试方法跟gdb最大的不同，在于前者是用OSX中的lldb远程连接debugserver，由debugserver作为lldb和iOS的中转，在执行命令和返回结果；而后者是gdb直接运行在iOS上。但对于一般的开发者来说，这个区别跟我们没关系，了解一下就好~
在iOS上运行下面的命令来attach进程，其中1234是我们指定的端口号：

debugserver *:1234 -a "SpringBoard"

成功后会显示：

三、在OSX上用lldb远程调试
首先在Terminal中运行lldb，然后输入以下命令：

process connect connect://iOSIP:1234

注意，这条命令执行耗时比较长，很多读者可能会以为iOS/OSX死掉了，其实没有，耐心等一会，看看@iOS应用逆向工程6有没有刷新微博，或在论坛里逛逛吧~
执行成功后会显示：

Screen Shot 2014-03-19 at 9.54.47 PM.png 729x231 19.1 KB

四、获取ASLR的offset
首先在lldb里输入"c"并回车，让进程继续执行；lldb有一个gdb没有的优点，就是可以在进程运行的过程中执行一些命令，这样就可以有效避免SpringBoard这样的进程在暂停过久后被WatchDog给kill掉。在lldb里输入

image list -o -f

显示如下图片：

Screen Shot 2014-03-19 at 10.01.42 PM.png 1094x247 35.1 KB

其中第一列[X]是image的序号，不用管；第二列是ASLR的offset（也就是对应image的虚拟内存slide）；第三列是image的全路径和slide之后的基地址，也不用管~所以第二列就是我们需要的信息。

五、在内存地址上下断点





假如我们在SpringBoard这个image的0xb446（在_menuButtonDown:中）处下断点，则此地址在内存中的实际位置是0xb446 + 0x9a000 = 0xa5446，在lldb中对应的命令是：

br s -a 0xA5446

执行成功后显示：

Screen Shot 2014-03-19 at 10.12.33 PM.png 926x39 9.62 KB

值得注意的是，lldb命令里如果涉及到加法操作，必须要加上单引号，即

br s -a '0x0009a000 + 0xb446'

感谢@0xBBC 的提醒

六、更改寄存器的值
按下home键，触发断点，显示如图：

Screen Shot 2014-03-19 at 10.15.36 PM.png 1276x195 20 KB

可以看到，lldb把包括断点在内的4条指令显示了出来，方便我们调试。这里，我们将r0的值设为0，让其跳转到0xa5470（0xb470 + 0x9a000）处。更改r0值的lldb命令是：

register write r0 0

接着”ni“两次，我们就可以看到程序执行到了0xa5470处，如图：

Screen Shot 2014-03-19 at 10.22.37 PM.png 1277x400 33.3 KB

七、用lldb启动一个App

debugserver -x backboard *:1234 /path/to/app/executable

如

debugserver -x backboard *:1234 /Applications/MobileNotes.app/MobileNotes

此命令会启动记事本，并断在dyld的第一条指令上，如图所示：

Screen Shot 2014-07-06 at 12.03.50 AM.png 728x267 21.3 KB

接下来，在lldb中持续输入“ni”，直到出现“error: invalid thread”的字样，如图所示：

稍等片刻，lldb即会停在程序的第一条指令上，如图所示：

Screen Shot 2014-07-06 at 12.06.13 AM.png 728x252 19 KB

此时我们即已处在进程内部，可以开始一窥究竟啦~
相较attach的半路出家，这种方式更有助于我们从头调试一个程序，可以观察到一些变量的初始化过程。

八、更多lldb命令
经过上面的操作，我们可以看到，lldb还是比较方便的，用惯了gdb而对它不熟悉的朋友可以通过lldb与gdb命令对照表46来熟悉lldb的命令。其实有了上面的几个操作，我们就可以开始简单动态分析程序了，相信能把上面六步走通的朋友，已经具备了举一反三的能力，其他需要用到的功能都可以Google到，当然更欢迎你到论坛里发帖提问或分享。好了，debugserver + lldb的简单介绍到此结束，接下来赶紧打开Terminal，hack起来吧~！

补充:

USB调试方法

通过wifi调试很慢，有时候"process connect"命令甚至会失败。如果你也遇到这样的情况，你可以通过USB而不是Wifi进行调试。

1. 首先在你的Mac上下载usbmuxd解压，并运行：

wget http: //cgit.sukimashita.com/usbmuxd.git/snapshot/usbmuxd-1.0.8.tar.bz2
tar xjfv usbmuxd-1.0.8.tar.bz2
cd usbmuxd-1.0.8/python-client/
python tcprelay.py -t 1234:1234

 

2. 这样所有试图链接到localhost:1234的连接都会通过USB被重定向到你的iOS设备的1234端口

　 这样，上面第8步中的process connect命令就可以更改如下：

process connect connect: //localhost:1234

 

然后你就可以像在Xcode中一样用lldb调试了。

 

Ref:  

http://iphonedevwiki.net/index.php/Debugserver 　　

实测lldb现象

iPhone4的debugserver_armv7,采用lldb调试成功且可以正常显示thumb指令.
iPhone5的debugserver_armv7与debugserver_armv7s,采用lldb调试成功,但不可以正常显示thumb指令,会解释成arm指令.

lldb版本总结：

1.Xcode 5.0 版本的 lldb 正常使用没什么问题, 版本是 lldb-300.2.47 

注：实测Xcode5.0.2版本的lldb,lldb版本是lldb-300.2.53,iPhone5是可以正常显示thumb指令．

2.Xcode 6.1 版本 lldb 会解析成 arm 一跑就崩溃  

3. Xcode 6.4 版本的lldb 会解析成arm 跑调试没问题,只是汇编现实有问题 

显示问题的传送门：http://blog.csdn.net/zhangmiaoping23/article/details/47750477