2019年iOS逆向最新学习资料（三）：强大的断点调试工具

1、强大的lldb

上文我们说到了调试。在iOS逆向中，很多人推荐debugserver + lldb 其实调试只需要lldb就够了。
debugserver配置的文章有很多，从14年到18年不等，但大部分都过时了。所以我也没用。那 只用lldb该怎么断点调试三方app呢？我们先来简单看下lldb的断点命令。

1.1 LLDB断点命令：

1.1.1 设置断点 下断点命令我们只需要先会两个就够了：

a： 给指定内存地址下断点： br set -a 0x00000000全拼我记不住
b： 给某方法下断点：b -n "[ClassName methodName]" 全拼同样记不住
关于a，怎么定位方法内存，一会再讲。
关于b，很多app打App Store包的时候，是去掉了符号表的编译配置项的。所以，我们暂时打不了三方app的方法断点。不过不用急，后面我们会教大家如何还原三方app的符号表。

1.1.2 查看断点

br list这个全拼我能记住：breakpoint list

1.1.3 删除断点
br del n 这里的n是上一步br list列出的断点的序号。根据对应的序号删除想删的断点。当然你也可以直接br del，然后lldb会问你是否要删除全部断点。[Y/n] ? 输入Y即可。

1.2 如何定位函数地址

好 我们先来看看如何找到想断点的函数的地址。为了降低被黑客攻击的风险，操作系统大都采用ASLR(地址空间布局随机化) 技术： 详细解释请看这 这个人的内存管理讲的不错，一共7篇，建议大家有时间看看。

ASLR是一种避免类似攻击的有效保护。进程每一次启动时，地址空间都会被简单地随机化：进行整体的地址偏移，而不是搅乱。通过内核将整个进程的内存空间“平移”某个随机数，进程的基本内存布局如程序文本、数据、库等相对位置仍然是一样的，但其具体的地址都不同了。
简单来说，ASLR会在进程启动时候随机一个基地址。
在lldb中的查看命令是image list 或image list -o -f。

如过命令后面不加参数，它打印的就是每个image（镜像）的虚拟内存地址。
如果加了-o参数，打印的就是image的偏移量（相对于谁，暂时还没研究）。

具体区别如下：
image list 打印的基地址： 0x102a94000
image list -o -f的地址： 0x002a94000

看出区别了么？第9位差了一个1。
这个1正好跟IDA工具中的0x 1 0000 0000对上了。
原因终于找到了，在：杨潇玉大哥的这篇文章。main()调用之前会调用exec()，exec() 是一个系统调用。系统内核把应用映射到新的地址空间，且每次起始位置都是随机的（因为使用 ASLR）。并将起始位置到 0x000000 这段范围的进程权限都标记为不可读写不可执行。如果是 32 位进程，这个范围至少是 4KB；对于 64 位进程则至少是4GB。NULL 指针引用和指针截断误差都是会被它捕获。4GB = 2³²,用二进制表示就是：第32+1位为1，剩下的32位为0。而4位二进制位可以表示一个十六进制位，所以十六进制表示就是：0x 1 0000 0000。这样就满足了64位进程至少4GB的最小偏移范围了。

这里我们提到的地址是虚拟地址，为什么不是物理地址？
原因是：操作系统将我们（程序猿）跟物理内存划分了一个安全界限，我们程序猿只需要用虚拟内存跟操作系统打交道即可，操作系统调用底层硬件api，跟物理内存打交道。如果程序猿直接跟物理内存交流，恐怕不是那么安全的。程序一旦出了bug，可能会导致系统瘫痪。

基地址有了，在前面ASLR技术中我们提到内核将整个进程的内存“平移”，所以数据段、代码段等等内存的偏移量其实是固定的，他们相对于mach-o header部分的偏移量是个常亮，那既然如此，我们的IDA工具又派上用场了：

这里列出的偏移地址，就是函数相对于mach-o的起始地址的偏移量，所以：
虚拟地址 = 基地址 + 偏移地址。
那么，我们就可以在 lldb用 br set -a 0x102a94000下断点了。
在这里在交给大家两个好用的命令：
读内存命令： x 0x102a94000 全拼是： memory read 0x102a94000
反汇编命令： dis -s 0x102a94000 dis是dissamble的简写。

我们调试别人的app，是看不到源码的，只能看汇编。所以这里建议大家学一下汇编。我知道很多人听到汇编就头大，不过不要紧，找对了教材，汇编真的可以通俗易懂。比如这本：《汇编语言第3版》王爽著。学习时长两三天就够。不信你试试。
我是从网上下的影印版PDF，阅读效果不太好，大家可以买正版书或者正版PDF来学习。

学完了汇编，CPU工作原理你就基本了解了，再跟内存交流起来就方便多了。不过你可能还是看不懂xcode中出现的上古语言。因为两者的汇编指令集不一样，书里的CPU是古老的8086，是地址总线20位，数据总线16位的16位机器。而iPhone 5s之后都是arm64 CPU，命令不太一样，总线位数也不一样，不过如果你理解了CPU的工作原理，arm64其实只是换了一种语法而已。而且CPU寻址操作也变得更简单。毕竟arm64数据总线跟地址总线位数相同（皆为64位），CPU不再需要地址加法器计算地址了。

这些都掌握了之后，我们可以看一下runtime源码，重点看一下objc/message部分。
目前苹果官方最新的是objc4-762版本，为了方便调试，我从github上下载了objc4-750版本，就差一个版本，不影响我们理解原理。
runtime 非官方Git地址
可以结合这篇文章进行理解。作者梳理的很好，从objc_msgSend的汇编代码入口开始，梳理到最终的runtime消息转发机制。

有了这些基础，下面我们再进行断点调试的时候，就会方便很多。

比如说，我们给没有隐藏符号表的app下断点：

断点viewDidAppear:

未隐藏符号表的程序，断点的时候，函数名也会显示出来。

接下来我们将用到一个进阶命令：register read 查看寄存器信息：

前面如果你研究了runtime的objc_msgSend函数，你就会知道，该函数有两个默认参数 (receiver, cmd)，第一个参数是消息接收者，第二个是函数地址。在 iOS arm64 CPU中，通用寄存器中的 x0~x7寄存器 用于参数传递。所已 x0寄存器的值就是我们该函数的第一个参数：消息接收者，也就是DJHomeViewController类型的一个对象。结合po命令，我们就可以查看很多东西了。
第二个参数是函数地址，对应 x1寄存器。
objc_msgSend中第三个参数（ x2寄存器），就是viewDidAppear:后面的传参了，我们看到这个值是0. 回头看看 class-dump，可以看到这个参数要求传一个布尔值，那么 我们就可以猜出该函数入参是false。

有了对象和参数地址，你就拥有了一切。

比如，我们通过class-dump 看到该类有这么一个属性，那我们就可以直接访问！

我们可以用 p命令 输出一下对象，该功能有点类似于 expression命令。
此时会生成一个 $符号开头的变量，这个变量可以在后续 lldb中使用。
那么接下来我们就可以利用 kvc进行访问任何内容了。也可以直接像写 OC代码一样，在 lldb中写方法调用。例如： po [$10 class];
lldb常用命令可以 看这里、 或这里。网上有很多这类文章，大家可以自行查找。

到这里，我们可以看到，假如调试的时候能看到函数名，那我们逆向就没有任何阻碍。所以，符号表是我们的必争之地！
如何还原符号表，请看下集：iOS逆向资料（四）：还原符号表，再无障碍。