iOS逆向之lldb调试分析练习

接下来几篇文章将介绍iOS逆向分析中动态调试分析。主要是使用lldb配合(ida或者Hopper Disassembler)对iOS app的关键算法进行动态调试外加静态分析,从而还原出算法流程及参数。

该篇文章主要是对UnCrackable1进行动态调试分析。首先主要是介绍debugserver、lldb配置,其次则开始调试分析练习的app。

一、debugserver、lldb配置

  1. 配置debugserver(debugserver是在iOS设备中用来接收mac端lldb提供的指令,并进行相应的执行,即server端。iOS设备中带有的debugserver只能调试自己开发的相关应用,因此要对其他iOS app进行调试时,则需要配置debugserver)

    拷贝debugserver到电脑上,在mac电脑安装有Xcode,并连接上iOS设备后。打开Xcode,即可在iOS设备的/Developer/usr/bin目录中找到debugserver(如下图所示),使用scp命令复制到电脑上

    image

    对debugserver进行瘦身,使用如下命令(其中-thin后面填写的是iOS设备的arm架构,iPhone 5s之前的都是 armv7s,iPhone 5s之后(含iPhone 5s)都是arm64,因为我的设备是iPhone 6s因此写arm64)

    lipo -thin arm64 debugserver -output debugserver

    给debugserver添加task_for_pid权限,新建文档ent.xml,拷贝以下配置到文档中,并保存到debugserver所在的目录中

    保存后,在终端切换到debugserver所在目录后,执行如下命令

    ldid -Sent.xml debugserver #赋予debugserver task_for_pid的权限

    (如果执行命令时,提示ldid不存在,则使用brew install ldid安装ldid)

    配置完debugserver后,将debugserver拷贝到iOS设备的/usr/bin目录(因为/Developer/usr/bin目录只读)中,并赋予可执行的权限,命令如下所示

    chmod +x debugserver

    赋予完权限后,则可以启动试试是否正常运行,命令如下

    debugserver

  2. 配置lldb(mac安装Xcode后则自带lldb,不用配置)

二、调试分析UnCrackable1

  1. 在iOS设备中安装需要分析的iOS app,安装后启动该app。连接iOS设备,使用如下命令查看进程名,如下图所示

    ps aux | grep "/var/containers" #找到我们要调试的进程名

    image
  2. 在iOS设备中启动debugserver进行监听,使用如下命令,如下图所示

    debugserver *:12345 -a "UnCrackable Level 1" #即我们要调试的iOS app的进程名

    image

    如果后面lldb连接debugserver提示如下错误时,则debugserver执行的命令修改为如下命令

    image

    debugserver 127.0.0.1:12345 -a "UnCrackable Level 1" #修改后的debugserver命令

  3. 使用lldb连接debugserver

    这里也使用usb连接的方式连接debugserver则需要先设置端口转发,命令如下所示

    ./tcprelay.py -t 12345:12345(其中前面的12345端口是上面debugserver设置的监听端口号)

    设置完后,在终端输入lldb命令,进入lldb的命令符后,执行如下命令将lldb和debugserver进行连接

    lldb

    (lldb)process connect connect://localhost:12345

    连接完以后,则可以开始调试我们的目标app UnCrackable1了。

  4. 调试UnCrackable1

    首先查看UnCrackable1进程的所有模块,在模块显示的信息中,我们可以看到它在虚拟内存中相对于模块基地址的偏移量。使用如下命令查看进程所有模块信息

    image list -o -f

    显示的结果如下图所示

    image

    左边的地址为ASLR偏移量(地址随机偏移量0x0000000000208000,右边的地址为偏移后的地址 0x0000000100208000

    因为我们要分析的函数在UnCrackable Level 1模块中,因此我们这里只需要记录UnCrackable Level 1的随机偏移量0x0000000000208000即可

    查看完进程中模块的随机偏移量后,我们接下来即要在Hopper Disassember或者ida中打开我们的iOS app,找到需要分析的函数 buttonClick(即按下按键后执行的函数,比较两个字符串是否相等的函数) ,查看它的地址(这里我以ida为例)如下图所示

    我们即可看到函数地址为 0x00000001000044A8(64位机器地址)

    image

    现在我们可以算出函数在内存中地址

    0x00000000002080000(随机偏移量) + 0x00000001000044A8(ida中地址)= 0x1020844A8(内存中函数地址)

    算出函数地址后,开始在lldb下断点,使用如下命令

    (lldb) br s -a 0x1020844A8 #这样程序开始执行时,会运行到我们下断点的地方停下来,方便我们逐步跟踪

    下完断点后,执行如下命令继续运行app

    c #continue继续执行程序

    则可看到如下图程序断在输入字符串的界面,等着我们输入字符串,在文本框中输入字符串"test",并按下 Verify 按键

    image

    如下所示,按下verify键后,lldb中程序断在buttonClick函数处,可以与ida中的buttonClick做对比,函数流程相同

    image
    image

    接着即开始单步nexti(简写ni,ni指令遇到子函数不进入执行,步过)、stepi(简写si,si指令遇到子函数会进入执行,即每条指令都执行,步入)调试buttonClick函数

    调试UnCrackable Level 1的buttonClick函数,我们主要是查看如下图所示的关键代码,并输出相应的寄存器值来辅助分析,具体如下所示

    image

    lldb执行流程如下所示(寄存器的值)

    image
    image
    image
    image
    image
    image

    在lldb中继续执行 c 指令,可看到iOS设备中弹出错误信息

    image

    尝试修改isEqualToString函数返回值,查看程序的流程是否发生改变,使用如下命令,具体如下所示

    register write x24(对应的寄存器) 0x1

    image
    image

    修改寄存器后,iOS设备中程序弹出注册成功信息

    image

    当然还有一种方法就是我们已经跟踪到隐藏的标签的字符串值"i am groot!"。因此只需在文本框中输入对应的字符串值后,即可验证成功。如下图所示

    image

    最后,还有lldb调试指令没有补充,后面整理再增加上。

    如果需要该练习的app进行lldb调试练习,可以在公众号回复 "UnCrackable1",获取下载链接

    公众号二维码

    image
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,948评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,371评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,490评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,521评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,627评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,842评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,997评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,741评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,203评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,534评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,673评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,339评论 4 330
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,955评论 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,770评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,000评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,394评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,562评论 2 349

推荐阅读更多精彩内容