iOS逆向之伪代码中的block参数分析

整理出来的旧笔记

以下两段代码是从IDA反汇编出来的伪代码,第一个函数中有block,第2个函数是这个block的具体实现:
updateViewWithValue 函数代码:代码1

//----- (001B309E) --------------------------------------------------------
// CustomView - (void)updateViewWithValue:(unsigned int)
void __cdecl -[CustomView updateViewWithValue:](struct CustomView *self, SEL a2, unsigned int a3)
{
  struct CustomView *v3; // r5@1
  unsigned int v4; // r4@1
  void *v5; // r0@1
  void *v6; // r6@1
  int v7; // [sp+0h] [bp-28h]@1
  int v8; // [sp+4h] [bp-24h]@1
  int v9; // [sp+8h] [bp-20h]@1
  int (__fastcall *v10)(int, int); // [sp+Ch] [bp-1Ch]@1
  _UNKNOWN *v11; // [sp+10h] [bp-18h]@1
  int v12; // [sp+14h] [bp-14h]@1
  unsigned int v13; // [sp+18h] [bp-10h]@1

  v3 = self;
  v4 = a3;
  v5 = objc_msgSend(self, "views");
  v6 = (void *)objc_retainAutoreleasedReturnValue(v5);
  v7 = (int)&_NSConcreteStackBlock;
  v8 = -1040187392;
  v9 = 0;
  v10 = sub_1B311E;
  v11 = &unk_EEE440;
  v13 = v4;
  v12 = objc_retain(v3);
  objc_msgSend(v6, "enumerateObjectsUsingBlock:", &v7);
  objc_release(v6);
  objc_release(v12);
}
// AE0184: using guessed type int __fastcall objc_release(_DWORD);
// AE01C4: using guessed type int __fastcall objc_retainAutoreleasedReturnValue(_DWORD);
// EE4A58: using guessed type void *_NSConcreteStackBlock_ptr;
// FFCCDC: using guessed type char *selRef_enumerateObjectsUsingBlock_;

enumerateObjectsUsingBlock 后面的block块代码:代码2

//----- (001B311E) --------------------------------------------------------
int __fastcall sub_1B311E(int a1, int a2)
{
    int v2; // r11@1
    int v3; // r0@1
    int v4; // r4@1
    void *v5; // r0@1
    void *v6; // r0@2
    void *v7; // r10@2
    void *v8; // r0@3
    void *v9; // r0@4
    void *v10; // r6@4
    void *v11; // r0@4
    void *v12; // r6@4
    int v18; // r5@4
    void *v19; // r0@4
    void *v20; // r0@4
    void *v21; // r6@4
    void *v22; // r8@5
    void *v23; // r11@5
    void *v26; // r0@7
    void *v27; // r5@7
    int v29; // [sp+10h] [bp-30h]@4
    int v30; // [sp+10h] [bp-30h]@5
    void *v31; // [sp+18h] [bp-28h]@4
    void *v32; // [sp+1Ch] [bp-24h]@4

    v2 = a1;
    v3 = objc_retain(a2);
    v4 = objc_retain(v3);
    v5 = objc_msgSend(&OBJC_CLASS___NewPage, "class");
    if ( objc_msgSend((void *)v4, "isKindOfClass:", v5) )
    {
        objc_msgSend((void *)v4, "setTop:", 0);
        objc_msgSend((void *)v4, "setLeft:", 0);
        v6 = objc_msgSend((void *)v4, "pageView");
        v7 = (void *)objc_retainAutoreleasedReturnValue(v6);
        if ( v7 )
        {
            v8 = objc_msgSend(&OBJC_CLASS___ContentView, "class");
            if ( objc_msgSend(v7, "isKindOfClass:", v8) )
            {
                v9 = objc_msgSend(v7, "mainView");
                v10 = (void *)objc_retainAutoreleasedReturnValue(v9);
                v32 = objc_msgSend(v10, "width");
                objc_release(v10);
                v11 = objc_msgSend(v7, "mainView");
                v12 = (void *)objc_retainAutoreleasedReturnValue(v11);
                _R8 = objc_msgSend(v12, "height");
                objc_release(v12);
                __asm { VMOV            D8, R8, R8 }
                v29 = v2;
                v18 = *(_DWORD *)(v2 + 24);
                v31 = _R8;
                v19 = objc_msgSend((void *)v4, "contentView");
                v20 = (void *)objc_retainAutoreleasedReturnValue(v19);
                v21 = v20;
                if ( v18 == 1 )
                {
                    objc_msgSend(v20, "setMaximumZoomScale:", 1065353216);
                    objc_release(v21);
                    v30 = 0;
                    v22 = v32;
                    v23 = v31;
                }
                else
                {
                    objc_msgSend(v20, "setMaximumZoomScale:", 0x40000000);
                    objc_release(v21);
                    v22 = objc_msgSend(*(void **)(v2 + 20), "width");
                    v23 = objc_msgSend(*(void **)(v2 + 20), "height");
                    _R0 = objc_msgSend(*(void **)(v29 + 20), "height");
                    __asm
                    {
                    VMOV            D16, R0, R0
                    VSUB.F32        D16, D16, D8
                    VMOV.F32        D17, #0.5
                    VMUL.F32        D0, D16, D17
                    VMOV            R0, S0
                    }
                    v30 = _R0;
                }
                objc_msgSend((void *)v4, "layoutViewWithBounds:", 0, 0, v22, v23);
                objc_msgSend(v7, "setFrame:", 0, 0, v22, v23);
                v26 = objc_msgSend(v7, "mainView");
                v27 = (void *)objc_retainAutoreleasedReturnValue(v26);
                objc_msgSend(v27, "setFrame:", 0, v30, v32, v31);
                objc_release(v27);
            }
        }
        objc_release(v7);
    }
    objc_release(v4);
    return j__objc_release(v4);
}
// AE0184: using guessed type int __fastcall objc_release(_DWORD);
// AE01C4: using guessed type int __fastcall objc_retainAutoreleasedReturnValue(_DWORD);
// FFBBB0: using guessed type char *selRef_setFrame_;
// FFBCBC: using guessed type char *selRef_class;
// FFBCC0: using guessed type char *selRef_isKindOfClass_;
// FFC160: using guessed type char *selRef_width;
// 1001220: using guessed type char *selRef_setMaximumZoomScale_;

在代码2中,关键在于怎么定位 v18 = *(_DWORD *)(v2 + 24);中的v18是多少,以及v2是什么
还有v22 = objc_msgSend(*(void **)(v2 + 20), "width”); 中的v2+20 是什么?

先看v2,可以从代码2的开头看到 v2 = a1,也就是 block代码 sub_1B311E 函数的第一个参数,那么第一个参数是啥呢?刚开始我以为是OC代码里block的第一个参数,但实际上不是的,OC代码里block的第一个参数 应该是a2,

根据 逆向中获取 Block 的参数和返回值 一文的最后几段,可知block在汇编中的第一个参数实际是 block 的引用地址
由于这个例子中 enumerateObjectsUsingBlock 是栈block,所以这个引用地址就是在栈上的。

这个栈地址在代码1 中就是对应v7的,再看v7的定义,是 int v7; // [sp+0h] [bp-28h]@1
v2=v7=sp+0h
v2+24=v7+24 = sp+24 = sp+ 18h
再看代码1中sp+18h对应的变量是v13
v13在代码1中的值是v4,对应a3,也就是 updateViewWithValue 函数的参数值,显然是value所以v2 + 24是参数value` 的地址

同样也可以得到v2+20 是对应 updateViewWithValue 中的self地址

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 228,739评论 6 534
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 98,634评论 3 419
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 176,653评论 0 377
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 63,063评论 1 314
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 71,835评论 6 410
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 55,235评论 1 324
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 43,315评论 3 442
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 42,459评论 0 289
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 49,000评论 1 335
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 40,819评论 3 355
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 43,004评论 1 370
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 38,560评论 5 362
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 44,257评论 3 347
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 34,676评论 0 26
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 35,937评论 1 288
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 51,717评论 3 393
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 48,003评论 2 374

推荐阅读更多精彩内容