介绍lldb之前,我们先补充一下上一篇iOS逆向之lldb调试分析CrackMe1讲的分析CrackMe1过程中如何从一开始打开app定位到buttonClick函数,然后再介绍lldb常用操作指令。
一、定位CrackMe1的buttonClick函数
分析一款新应用,条件允许的话一般都是先安装到相应设备中打开把玩一遍,记录不同操作获得的信息提示、内容展示或者发送的网络请求,为定位到相应的功能模块提供定位信息。当然,如果这款新应用是恶意应用。在安装、运行的时候,则要做好备份或者防止它窃取、破坏设备中的数据
-
具体安装运行CrackMe1,查看获得的信息提示
打开app后,有一条text文本 “A secret Is Found In The Hidden Label!”。底下一个文本框及一个确认按钮。因此可以猜到这是要我们输入一个字符串来确认是不是Hidden Label隐藏的字符串。则随便在文本框中输入一个字符串,点击确认。可看到会有一个弹框消息 “Verification Failed.” 提示验证失败
如下所示
image -
安装运行CrackMe1后,我们即可通过过程中的相关信息尝试定位验证字符串的函数位置。具体的相关信息如 文本框的控件名UITextField、按钮相关的函数名如(buttonClick、btnClick等)或者通过提示框提示的验证信息(如“Verification Failed.”)都可定位到验证函数(相信各位大神都能在分析其他app时获得更多信息进行定位,有其他更多信息,请多多赐教,谢谢啦)
如下所示
以搜索 UITextField 为例
二、lldb常用操作指令
lldb常用操作指令主要是包含了lldb调试app流程中的各个步骤:
其中整个流程包括确定函数在哪个模块(确定函数在进程中的地址);在函数位置下好断点(确定完地址后,则需要下断点,当进程恢复运行后,运行到断点处会停下);开始启动程序;在进程停在断点处后查看进程当前的所有数据;修改函数流程等
-
image list(确定函数在进程中的地址,通过image list指令得到对应模块的ASLR地址随机偏移量 + ida中查看到的函数的地址等于函数在进程中的地址)
image list
该指令是查看当前进程的所有模块,信息包含有
UUID 模块在内存中的地址 模块文件的全路径 三个部分
如下图所示
image在调试过程中,我们如果需要ASLR(随机偏移量)及 模块文件的全路径 因此要在后面加入参数
image list -o -f
则只显示ASLR(随机偏移量)及模块文件的全路径
如下图所示
image如果想了解更多image list的参数,则可以通过如下指令
help image list
如下图所示
image -
breakpoint(在函数位置下断点)
b function
通过函数名下断点,好像只对系统函数有效果
如下图所示
imagebr s -a address
通过函数地址下断点,这个地址即上一步计算得到的地址
如下图所示
imagebr list
查看下好后的断点列表
如下图所示
imagebr dis
禁用所有断点,当然也可以在后面加上序号只禁用对应序号的断点
如下图所示
imagebr en
启用所有断点,当然也可以在后面加上序号只启用对应序号的断点
如下图所示
imagebr del
删除所有断点,当然也可以在后面加上序号只删除对应序号的断点。删除所有断点时,会提示你是否确定删除
如下图所示
imagebr com add 1
在序号为1的断点处添加指令执行,当程序运行后断在序号为1的断点时执行添加的指令
如下图所示
imageimage -
run、continue、nexti、stepi(开始启动程序)
run(r)
重新运行程序
如下图所示
imagecontinue(c)
程序断在断点处,继续执行程序
如下图所示
imagenexti(ni)
单步执行程序,而且 步过,不进入函数体
如下图所示
imagestepi(si)
单步执行程序,步入,会进入函数体,执行单条指令
如下图所示
image -
print、bt(查看进程当前的各项数据)
p $x0
打印出寄存器中存储的值的类型及数据
如下图所示
imagepo $x0
以object的形式打印出寄存器存储的值,查看object类型的一般使用这个,比如字符串
如下图所示
imagep/x $sp
以16进制的形式打印栈顶指针sp
x/20 $sp
当函数参数有超过寄存器的存放数量(32位最多存放4个参数,64位最多存放8个参数)时,则会将剩余的参数保存到栈中,则需要查看栈在内存中的数据
如下图所示
imagememory read -force -f A $sp $fp
也可以使用上面指令读取从栈顶指针开始的内存中的值
如下图所示
imagebt
查看程序调用的堆栈信息,即有时候需要确定该函数的上层调用函数,可通过堆栈信息找到
如下图所示
image -
register write
register write x0 1
用于给寄存器赋值,如下面的给x0寄存器赋值为1,当我们遇到判断结果为0时,程序即将跳到结束函数,这时为了继续跟踪程序流程,则需要修改程序的结果使跳转跳到后续函数部分
如下图所示
image要了解更多lldb相关知识的可自行访问如下链接
