逆向开发中对Block函数的参数还原方法

| 导语 在逆向开发中,通过dump MachO文件后如果一个类型是Block那么就会解析成CDUnknownBlockType类型,本文的目的是教你如何还原Block的参数

1 Block的内存模型定义

struct Block_literal_1 {
    void *isa; // initialized to &_NSConcreteStackBlock or &_NSConcreteGlobalBlock
    int flags;
    int reserved;
    void (*invoke)(void *, ...);
    struct Block_descriptor_1 {
        unsigned long int reserved;         // NULL
        unsigned long int size;         // sizeof(struct Block_literal_1)
        // optional helper functions
        void (*copy_helper)(void *dst, void *src);     // IFF (1<<25)
        void (*dispose_helper)(void *src);             // IFF (1<<25)
        // required ABI.2010.3.16
        const char *signature;                         // IFF (1<<30)
    } *descriptor;
    // imported variables
};

从Block的定义可以看出,Block是一个结构体,同时也是一个OC对象,其中invoke是block的函数指针,Block_descriptor_1是对Block进行描述其中signature是对Block的函数进行签名,假设能够获取到signature的值那么通过[NSMethodSignature signatureWithObjCTypes:"signature"]就能够获取到block函数的参数。

2 实战

现在以修改mac端项目中的某个功能为例子,进行验证。修改功能的方法为:- (void)SetGroupChatAnnouncementWithGroupUserName:(id)arg1 announceContent:(id)arg2 withCompletion:(CDUnknownBlockType)arg3;很明显,第三个参数是block类型。

2.1 通过hook方法的方式定位

hook方法的代码

// hook方法的原理
void wb_hookMethod(Class originalClass, SEL originalSelector, Class swizzledClass, SEL swizzledSelector) {
    Method originalMethod = class_getInstanceMethod(originalClass, originalSelector);
    Method swizzledMethod = class_getInstanceMethod(swizzledClass, swizzledSelector);
    if(originalMethod && swizzledMethod) {
        method_exchangeImplementations(originalMethod, swizzledMethod);
    }
}
// hook 方法的调用
wb_hookMethod(objc_getClass("GroupStorage"), @selector(SetGroupChatAnnouncementWithGroupUserName:announceContent:withCompletion:), [self class], @selector(wbhook_SetGroupChatAnnouncementWithGroupUserName:announceContent:withCompletion:));

- (void)wbhook_SetGroupChatAnnouncementWithGroupUserName:(id)arg1 announceContent:(id)arg2 withCompletion:(id) arg3{ // (void(^)(NSString *s) ) arg3
    NSLog(@"调用者:%@, 调用函数:%s, arg1:%@",[self className],__func__,arg1);
    [self wbhook_SetGroupChatAnnouncementWithGroupUserName:arg1 announceContent:arg2 withCompletion:arg3];
}

hook运行的结果:

image.png

通过执行 po arg3后可以得到signature的值 为:v20@?0c8@"NSString"12 这个字符串的含义可以参考苹果官网介绍

然后调用po [NSMethodSignature signatureWithObjCTypes:"v20@?0c8@\"NSString\"12"] 注意signature里的双引号需要转义。结果如下:

image.png

可见该Block的返回值是v,代表是void,第一个参数是@类型,看它的flags是一个block,其实block的第一个参数默认是本身,由编译器给我们插入,所以从第2个参数开始才是我们自己写的block参数,上面的block参数类型是c代表的是char类型,第三个参数是@,并有注释是NSString类型,所以第三个参数是NSString。

综上所述-(void)SetGroupChatAnnouncementWithGroupUserName:(id)arg1 announceContent:(id)arg2 withCompletion:(CDUnknownBlockType)arg3;方法的还原为- (void)SetGroupChatAnnouncementWithGroupUserName:(id)arg1 announceContent:(id)arg2 withCompletion:(void(^)(char,NSString *)) arg3;

接下来对这个还原的方法进行测试:能够只能正确的执行。

image.png

2.2 Hopper + image list 方式逆向获取Block的参数

  • 通过image list可以得到本次运行的MachO文件的内存地址为:0x000000010f631000

  • 通过Hopper 查到-(void)SetGroupChatAnnouncementWithGroupUserName:(id)arg1 announceContent:(id)arg2 withCompletion:(CDUnknownBlockType)arg3;方法的偏移地址为:0x5e0328

  • 对该方法动态下一个内存断点为b -a 0x5e0328+0x000000010f631000,可见内存断点下成功了

image.png
  • 在项目中里随便触发一下功能点,触发断点,其结果如下:
image.png

我们通过查看:通用寄存器rcx、rdx、r8、r9的值,这个四个寄存器是Intel64架构约定存放函数参数的寄存器,详情可以参考

-(void)SetGroupChatAnnouncementWithGroupUserName:(id)arg1 announceContent:(id)arg2 withCompletion:(CDUnknownBlockType)arg3这个方法而言可以查看这个方法的所有参数值:arg1存在rcx,arg2存在rdx,arg3存在r8,如下图所示

image.png

通过打印po $r8可以得到block的函数签名值为v20@?0c8@"NSString"12。与2.1的方法获取一致。

至此,我们又得到了获取block参数的一种方式。

注:关于Hopp 和 image list的使用请参考:上一篇

2.3 通过IDA工具直接获取

IDA是反汇编中很重要的反汇编工具,它几乎可以做到完全还原源代码。通过IDA工具查看``-(void)SetGroupChatAnnouncementWithGroupUserName:(id)arg1 announceContent:(id)arg2 withCompletion:`的关键伪代码,如下所示:

void __cdecl -[GroupStorage SetGroupChatAnnouncementWithGroupUserName:announceContent:withCompletion:](
        GroupStorage *self,SEL a2,id a3,id a4,id a5)
{
    v14[0] = _NSConcreteStackBlock;
    v14[1] = 3254779904LL;
    v14[2] = &sub_1005E05AC;
    v14[3] = &unk_1044E1470;
    objc_copyWeak(&to, location);
    v15 = _objc_retain(v7);
    v16 = _objc_retain(v20);
    -[GroupStorage setChatRoomAnnouncementWithUserName:announceContent:withCompletion:](
      self,"setChatRoomAnnouncementWithUserName:announceContent:withCompletion:",v15,v19,v14);
}

对于上面的代码:很明显v14这个对象表示的就是Block,并且根据Block的内存模型可以知道,v14[3]就是Block_descriptor_1,在IDA工具中双击unk_1044E1470这个就可以得到如下图所示的片段。

044E1470 unk_1044E1470   db    0                 ; DATA XREF: -[GroupStorage SetGroupChatAnnouncementWithGroupUserName:announceContent:withCompletion:]+E4↑o
__const:00000001044E1480                 dq offset sub_1005E06FC
__const:00000001044E1488                 dq offset sub_1005E0739
__const:00000001044E1490                 dq offset aV200c8Nsstring ; "v20@?0c8@\"NSString\"12"           

由上可以知道该Block的签名为v20@?0c8@\"NSString\"12。至此又通过另一种方式查找到了Block的参数类型。

总结

本文主要介绍了如何查找Block函数参数的几种方式,不管是那种方式只要知道了Block的内存定义模型,然后找到这个Block的函数签名,就可以解析出这个Block的参数类型和个数。

关于基于Block内存模型调试的文章可以参考此文

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容