iOS 逆向 day 13 ARM64 汇编 ldr str wzr xzr 叶子函数 栈平衡

1. 内存操作：从内存中加载数据 ldr、ldur、ldp

ldr介绍，ldur 和 ldp 类似

2. 如何通过程序代码来理解 ldr？

//  ARM64.s
.text
.global _test
_test:
ldr x9, [x0] // 寻得 x0 地址所在的值，赋给 x9
ret

//  main.m
#import 
#import "AppDelegate.h"
#import "ARM64.h"

int main(int argc, char * argv[]) {
    NSString * appDelegateClassName;
    @autoreleasepool {
        int a = 8;
        int b = 4;
        test();
        appDelegateClassName = NSStringFromClass([AppDelegate class]);
    }
    return UIApplicationMain(argc, argv, nil, appDelegateClassName);
}

• 操作说明：在 main.m 文件中 test();行打上断点，然后如下操作

(lldb) p &b    // 获取 b 的地址值
(int *) $4 = 0x000000016f137860
(lldb) s // 进入 test 函数
(lldb) register write x0 0x000000016f137860 // 将&b 写入 x0
(lldb) ni
(lldb) register read x9 // 获取 x9 的内容
      x9 = 0x0000000800000004

思考，为什么我们原本只是将&b的值读了，赋给 x9 ，为什么 x9 里面的值还有一个 8，如果能思考清楚，我想 ldr 的指令就掌握得差不多了。
解答：因为 ldr 的指令含义是寻得 x0 的地址，将从 x0 地址所在的值赋予 x9，int 通常是占 4 个字节，而 x9 是 8 个字节的，所以 x9 不仅仅读取了 b 的内容，还多读取了四个字节。如何证明呢？

(lldb) x 0x000000016f137860 // x 指令：从指定地址开始打印存储内容
0x16f137860: 04 00 00 00 08 00 00 00 00 00 00 00 00 00 00 00  ................
0x16f137870: c8 78 13 6f 01 00 00 00 01 00 00 00 00 00 00 00  .x.o............

我们发现 &b 后续的内容，就是 a 的内容，这就解答了我们的疑惑。那么我们只想去四个字节呢？把 x9 换成 w9 即可。

3. 内存操作：往内存中写入数据 str、stur、stp

str用法与 ldr 用法思想一致

4. 零寄存器 wzr、xzr

因为我们在使用 str 的是没法使用立即数 0 给寄存器赋值，所以 wzr xzr就是干这个事情的。是一个比较特殊又常常见到的寄存器。

5. pc 寄存器 lr 寄存器

• pc：Program Counter，用于记录当前汇编存储执行到那一条了，存储的是对应汇编指令所在的地址值：

(lldb) register read pc
      pc = 0x0000000100cda958  TestARM64`test

• lr：Link Register（x30），链接寄存器。存储着函数的返回地址

6. bl 指令的本质

• 先将 bl所在汇编指令的下一个指令 存储到 pc 寄存器中
• 然后运行 bl 指令，跳到指定函数内部
• 运行完指定函数，执行 ret 时候，会跳到 pc所存的汇编指令地址，继续执行

7. 叶子函数和非叶子函数

• 叶子函数：函数里面没有再调用其他函数的函数。
• 非叶子函数：函数里面还有调用其他函数的函数。

8. 叶子函数的汇编情况分析

编写如下 CTest.c 文件

#include 
void haha(){
    int a = 5;
    int b = 7;
}

使用指令xcrun -sdk iphoneos clang -arch arm64 -S CTest.c生成 ARM64 汇编代码 CTest.s，去掉一些无用注释得到如下汇编代码：

_haha:
    sub sp, sp, #16         //函数开始:sp 是栈指针寄存器,这句等价于 `sp=sp-16` 开辟了 16 字节的栈空间
    mov w8, #5              //将 5 赋值给 w8
    str w8, [sp, #12]       //将 w8 的字数据存储到 sp-12 这个地址开始的位置,占据四个字节
    mov w8, #7              //将 7 赋值给 w8
    str w8, [sp, #8]        //将 w8 的字数据存储到 sp-8 这个地址开始的位置,占据四个字节
    add sp, sp, #16         //函数马上结束: 这句话等价于 `sp=sp+16`,将 sp 复位,释放栈空间
    ret                     //函数结束

9. 非叶子函数的汇编情况分析

编写如下 CTest.c 文件

#include 
#include 

void haha(){
    int a = 5;
    int b = 7;
}

void hehe(){
    int c = 1;
    int d = 3;
    haha();
}

使用指令xcrun -sdk iphoneos clang -arch arm64 -S CTest.c生成 ARM64 汇编代码 CTest.s，去掉一些无用注释得到如下汇编代码：

_haha:
    sub sp, sp, #16         //_haha函数开始:sp 是栈指针寄存器,这句等价于 `sp=sp-16` 开辟了 16 字节的栈空间
    mov w8, #5              //将 5 赋值给 w8
    str w8, [sp, #12]       //将 w8 的字数据存储到 sp-12 这个地址开始的位置,占据四个字节
    mov w8, #7              //将 7 赋值给 w8
    str w8, [sp, #8]        //将 w8 的字数据存储到 sp-8 这个地址开始的位置,占据四个字节
    add sp, sp, #16         //这句话等价于 `sp=sp+16`,将 sp 复位,释放栈空间 [这一步和本函数第一步相呼应]
    ret                     //_haha函数结束

_hehe:
    sub sp, sp, #32         //_hehe函数开始:sp 是栈指针寄存器,这句等价于 `sp=sp-32` 开辟了 32 字节的栈空间
    stp x29, x30, [sp, #16] //将 x29(fp 寄存器) x30(lr 寄存器)的地址存储到栈空间 sp+16 地址开始的字数据中
    add x29, sp, #16        //将 x29(fp 寄存器) 指向栈空间 sp+16 地址
    mov w8, #1              //将 1 赋值给 w8
    stur    w8, [x29, #-4]  //将 w8 赋值给 x29-4 地址开始的字数据中
    mov w8, #3              //将 3 赋值给 w8
    str w8, [sp, #8]        //将 w8 赋值给 sp+8 地址开始的字数据中
    bl  _haha               //程序进入 _haha 函数中
    ldp x29, x30, [sp, #16] //将空间 sp+16 地址开始的字数据按顺序赋值给 x29(fp 寄存器) x30(lr 寄存器) [这一步和本函数第二步相呼应]
    add sp, sp, #32         //等价于 sp=sp+32 释放栈空间 [这一步和本函数第一步相呼应]
    ret                     //_hehe函数结束

• x29(fp 帧指针寄存器) x30(lr 链接寄存器) 以及 sp 栈指针寄存器是维护栈平衡的主要角色。

• iOS 系统分配栈空间常常以 16 字节的倍数进行分配 16、32、64

• 什么情况下栈空间会出现不够用？通常出现在递归调用的时候，不断嵌套

• 为什么有时候访问野指针会报错？因为访问到了操作系统不允许你范围的内存，放着不愿意让用户知道的信息，所以给你一个 EXEC_BAD_ADDRESS。