iOS逆向 03:循环选择指针(上)

iOS 底层原理 + 逆向 文章汇总

本文的主要目的是理解汇编中全局变量、常量的存储,以及如何将if、while等汇编代码还原成高级代码

全局变量

在这之前首先需要了解内存的分区,对这块不是特别清晰的,建议看看这篇文章iOS-底层原理 24:内存五大区,下面进行一个简单的汇总说明

  • 代码区:存放代码,可读、可执行

  • 栈区:存放参数、局部变量、临时数据,可读写

  • 堆区:开发人员动态申请,大小可变,可读写

  • 全局变量:可读可写

  • 常量:只读

案例分析

在main.m中定义一个函数和一个全局变量

int g = 12;

int func(int a, int b){
    printf("haha");
    int c = a + g;
    return c;
}


int main(int argc, char * argv[]) {
    
    func(1, 2);
}
  • func函数断点运行,以下是main函数的汇编代码


    image
  • 查看func的汇编代码,分析如下


    image
    • 查看x0是否为“haha”,通过调试得以验证,x0存的是haha的地址
      image
    • 查看其地址:x 0x000000010098bf9f,属于字符串的常量区(即左边是右边字符串的ASCII码)
      image

其中重点分析adrp x0,1add x0,x0,#0xf9f两句

  • adrp指令(address page 按页寻址):
    • 将1的值左移12位,此时的1是二进制
    • 加上pc寄存器的值(先需要将pc的低12位清零)
<!--(按页寻址)-->
<!--adrp-->
0x10098a824 <+20>: adrp   x0, 1
- 1)1左移12位:0x1000
- 2)pc寄存器低12位清零:0x10098a000
- 3)加上pc寄存器的值:0x10098a000 + 0x1000 = 0x10098b000
===> 得到x0地址就是某一页数据的起始位置(即首地址)

<!--add-->
0x10098a828 <+24>: add    x0, x0, #0xf9f            ; =0xf9f 
- adrp得到的地址加上偏移:0x10098b000 + 0xf9f = 0x10098bf9f
===> 此时的x0就是某一页中某段代码的地址,即当前代码段的地址

通过这个计算结果可知与上面调试的x0地址是一致的

why?:一个页的大小是4096,而0xFFF4095,加上1就是0x1000(即4096),所以是1左移12位即可得到一个页的首地址(注:macOS的pageSize是 4k(0x1000),而iPhone的pageSize是16k(0x4000),但是16仍是4的倍数,adrp兼容者mac和iPhone,所以此时定位的仍然是一页数据)

  • 继续分析bl printf以下的汇编代码
    image
    • ldur w8, [x29, #-0x4] :拿出栈中的数据,即1
      image
    • adrp + add + ldr :拿出0x10098ce98内存地址的数据,将x9的数据给w10。这样就拿到了全局变量g
      image

反汇编分析

示例代码如下

int g = 12;

int func(int a, int b){
    printf("haha");
    int c = a + g + b;
    return c;
}


int main(int argc, char * argv[]) {
    func(10, 20);
}

通过hopper来进行反汇编分析

  • 首先将工程编译:CMD+B

  • 进入App的包


    image

    image

    image
  • 将第5步中的可执行文件拖入hopper中进行分析


    image
  • 在hopper中搜索func


    image
  • 拷贝func的汇编代码,将其还原成高级语言代码(即反汇编)

<!--1、将汇编初步还原为高级语言代码-->
int gl = 12;
int func2(int a, int b){
    /*
     //一个函数的开始
     0000000100006808         sub        sp, sp, #0x20
     000000010000680c         stp        x29, x30, [sp, #0x10]
     0000000100006810         add        x29, sp, #0x10
    */
    
    /*
     //调用bl printf
     0000000100006814         stur       w0, [x29, #-0x4]
     0000000100006818         str        w1, [sp, #0x8]
     //===>此时的获取的0x100007f9f地址的数据 是没有ASLR的值
     000000010000681c         adrp       x0, #0x100007000
     0000000100006820         add        x0, x0, #0xf9f                              ; "haha"
     0000000100006824         bl         imp___stubs__printf
     */
    printf("haha");
     
     /*
      0000000100006828         ldur       w8, [x29, #-0x4]
      */
    int w8 = a;
    /*
      //===>此时的获取0x100008e98的数据
      000000010000682c         adrp       x9, #0x100008000
      0000000100006830         add        x9, x9, #0xe98                              ; _g
     */
//    int gl = 12;//(需要写外面)
    /*
      0000000100006834         ldr        w10, x9
     */
    int w10 = gl;
    
    /*
      0000000100006838         add        w8, w8, w10
     */
    w8 += w10;
    /*
      000000010000683c         ldr        w10, [sp, #0x8]
     */
    w10 = b;
    /*
      0000000100006840         add        w8, w8, w10
     */
    w8 += w10;
    /*
      0000000100006844         str        w8, [sp, #0x4]
      0000000100006848         ldr        w8, [sp, #0x4]
      000000010000684c         mov        x0, x8
      */
    return w8;
     
    /*
     //一个函数的结束
     0000000100006850         ldp        x29, x30, [sp, #0x10]
     0000000100006854         add        sp, sp, #0x20
     0000000100006858         ret
     */
    
}

<!--2、去掉汇编-->
int gl = 12;
int func2(int a, int b){

    printf("haha");

    int w8 = a;

    int w10 = gl;

    w8 += w10;

    w10 = b;

    w8 += w10;

    return w8;
}

<!--3、简化代码-->
int gl = 12;
int func2(int a, int b){
    printf("haha");
    return a + b + gl;
}

简化过程如下图所示(注:是从下向上还原,而不是从上向下(业务逻辑是从上至下执行):

image

image

其中

//===>此时的获取的0x100007f9f地址的数据 是没有ASLR的值
 000000010000681c         adrp       x0, #0x100007000      
 0000000100006820         add        x0, x0, #0xf9f
  • hopper中按G,查找0x100007f9f对应的数据
    image

同理,获取全局变量g也是同样的原理

//===>此时的获取0x100008e98的数据
000000010000682c         adrp       x9, #0x100008000
0000000100006830         add        x9, x9, #0xe98                              ; _g
0000000100006834         ldr        w10, x9
image

总结

  • 获取全局变量和常量时,会出现adrpadd两条指令获得一个地址的情况

  • ADRP(Address Page)

    • adrp x0,1
      • PC寄存器的低12位清零

      • 将1的值,左移12位,16进制就是0x1000

      • 以上两个结果相加放入x0寄存器

  • 通过ADD指令获取这页内存中的偏移值

条件

有如下代码,查看其汇编

int g = 12;
void func(int a, int b){
    if (a > b) {
        g = a;
    }else{
        g = b;
    }
}

int main(int argc, char * argv[]) { 
    func(1, 2);
}

通过hopper查看其汇编,代码如下

_func:
 ==>拉伸栈空间
 0000000100006828         sub        sp, sp, #0x10                               ; CODE XREF=_main+32
 ==>w0、w1数据入栈
 000000010000682c         str        w0, [sp, #0xc]
 0000000100006830         str        w1, [sp, #0x8]
 ==>从栈中读取数据到w8、w9
 0000000100006834         ldr        w8, [sp, #0xc]
 0000000100006838         ldr        w9, [sp, #0x8]
 
 ==>比较w8、w9,即比较w0、w1(cmp是减法,但不影响目标寄存器w8、w9,只看减法结果,修改标记寄存器)
 000000010000683c         cmp        w8, w9
 //如果是小于等于,就跳到到 loc_100006858 执行,如果是大于,则直接往下执行
 0000000100006840         b.le       loc_100006858

 0000000100006844         ldr        w8, [sp, #0xc]
 0000000100006848         adrp       x9, #0x100008000
 000000010000684c         add        x9, x9, #0xe90                              ; _g
 0000000100006850         str        w8, x9
 //硬跳,规避小于等于的代码,跳到loc_100006868
 0000000100006854         b          loc_100006868

                      loc_100006858:
 0000000100006858         ldr        w8, [sp, #0x8]                              ; CODE XREF=_func+24
 000000010000685c         adrp       x9, #0x100008000
 0000000100006860         add        x9, x9, #0xe90                              ; _g
 0000000100006864         str        w8, x9

                      loc_100006868:
 0000000100006868         add        sp, sp, #0x10                               ; CODE XREF=_func+44
 000000010000686c         ret

这是典型的if-else,通过hopper查看其汇编代码如下

image

将上述汇编代码进行还原

<!--1、还原-->
int cc = 12;
void func2(int a, int b){
//==>拉伸栈空间
//0000000100006828         sub        sp, sp, #0x10
//==>w0、w1数据入栈
//000000010000682c         str        w0, [sp, #0xc]
//0000000100006830         str        w1, [sp, #0x8]
//==>从栈中读取数据到w8、w9
//0000000100006834         ldr        w8, [sp, #0xc]
//0000000100006838         ldr        w9, [sp, #0x8]
    int w8 = a;
    int w9 = b;

//==>比较w8、w9,即比较w0、w1(cmp是减法,但不影响目标寄存器w8、w9,只看减法结果,修改标记寄存器)
//000000010000683c         cmp        w8, w9
////如果是小于等于,就跳到到 loc_100006858 执行,如果是大于,则直接往下执行
//0000000100006840         b.le       loc_100006858
    if (w8 > w9 ) {//大于
        //0000000100006844         ldr        w8, [sp, #0xc]
        //0000000100006848         adrp       x9, #0x100008000
        //000000010000684c         add        x9, x9, #0xe90                              ; _g
        //0000000100006850         str        w8, x9
        cc = w8;//此时的w8是a
        ////硬跳,规避小于等于的代码,跳到loc_100006868
        //0000000100006854         b          loc_100006868
        
    }else{//小于等于
        //                     loc_100006858:
        //0000000100006858         ldr        w8, [sp, #0x8]
        //000000010000685c         adrp       x9, #0x100008000
        //0000000100006860         add        x9, x9, #0xe90                              ; _g
        //0000000100006864         str        w8, x9
        cc = w8;//此时的w8是b
    }

//                     loc_100006868:
//0000000100006868         add        sp, sp, #0x10
//000000010000686c         ret
}


<!--2、简化-->
int cc = 12;
void func2(int a, int b){
    if (a > b ) {//大于
        cc = a; 
    }else{//小于等于
        cc = b;
    }
}

cmp(Compare)比较指令

  • CMP把一个寄存器的内容和另一个寄存器的内容或立即数进行比较,但不存储结果,只是正确的更改标志(CMP后面跟的是B.LE,即else的条件)
  • 一般CMP做完判断后会进行跳转,后面通常会跟上B指令
    • BL 标号:跳转到标号处执行

    • B.LT 标号:比较结果是小于(less than ),执行标号,否则不跳转

    • B.LE 标号:比较结果是小于等于(less than or equal to),执行标号,否则不跳转

    • B.GT 标号:比较结果是大于(greater than),执行标号,否则不跳转

    • B.GE 标号:比较结果是大于等于(greater than or equal to),执行标号,否则不跳转

- `B.EQ 标号`:比较结果是`等于`,执行标号,否则不跳转
- `B.NE 标号`:比较结果是不等于(not equal),执行标号,否则不跳转

- `B.HI 标号`:比较结果是`无符号大于`,执行标号,否则不跳转
- `B.HS 标号`:比较结果是`无符号大于等于`,执行标号,否则不跳转 

循环

循环常用的主要有forwhiledo-while,下面来一一进行分析

do-while分析

分析以下do-while的代码

int main(int argc, char * argv[]) {
    int sum = 0;
    int i = 0;
    do{
        sum += 1;
        i++;
    }while (i<100);
}
  • 通过hopper查看其汇编


    image
  • 汇编结束如下所示


    image

结论do-while循环:判断条件在后面,满足条件往外跳

while循环分析

int main(int argc, char * argv[]) {
    
    int sum = 0;
    int i = 0;
    while (i<100){
        sum += 1;
        i++;
    }
}

汇编如图所示


image

结论while循环:判断条件在里面,不满足就往外跳

for循环分析

int main(int argc, char * argv[]) { 
    int sum = 0;
    for (int i = 0; i < 100; i++) {
        sum += 1;
    }
}

此时和while的汇编是一样的


image

结论for循环很像:判断条件在里面,不满足就往外跳

总结

全局变量和常量

  • 获取全局变量和常量时,会出现adrpadd两条指令获得一个地址的情况

  • ADRP(Address Page)

    • adrp x0,1
      • PC寄存器的低12位清零

      • 将1的值,左移12位

      • 以上两个结果相加放入x0寄存器

  • 通过ADD指令获取这页内存中的偏移值

条件判断

  • CMP把一个寄存器的内容和另一个寄存器的内容或立即数进行比较,但不存储结果,只是正确的更改标志(CMP后面跟的是B.LE,即else的条件)
  • 一般CMP做完判断后会进行跳转,后面通常会跟上B指令
    • BL 标号:跳转到标号处执行

    • B.LT 标号:比较结果是小于(less than ),执行标号,否则不跳转

    • B.LE 标号:比较结果是小于等于(less than or equal to),执行标号,否则不跳转

    • B.GT 标号:比较结果是大于(greater than),执行标号,否则不跳转

    • B.GE 标号:比较结果是大于等于(greater than or equal to),执行标号,否则不跳转

    • B.EQ 标号:比较结果是等于,执行标号,否则不跳转

    • B.NE 标号:比较结果是不等于(not equal),执行标号,否则不跳转

    • B.HI 标号:比较结果是无符号大于,执行标号,否则不跳转

    • B.HS 标号:比较结果是无符号大于等于,执行标号,否则不跳转

循环

  • do-while循环:判断条件在后面,满足条件往外跳

  • for循环和while循环很像:判断条件在里面,不满足就往外跳

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,686评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,668评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,160评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,736评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,847评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,043评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,129评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,872评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,318评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,645评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,777评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,470评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,126评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,861评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,095评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,589评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,687评论 2 351

推荐阅读更多精彩内容