iOS逆向-arm64汇编学习

捣鼓了一段时间的iOS逆向相关的东西,在动态分析过程中会阅读汇编代码,分析代码的执行流程,在此记录下阅读汇编代码过程中经常遇到的一些指令。

当然如果不玩逆向也有必要学习汇编,在定位某些crash问题的时候会很有帮助,比如有时候程序挂在系统库里面,如果能读懂汇编代码,再利用一些调试技巧,可会达到意想不到的效果。

除此之外,学习汇编有利于帮助自己更深层次的理解程序,理解计算机。

说明:下面所描述的都是在arm64架构的汇编指令,在arm32或者x86架构会有所区别。


寄存器

arm64架构下,所有的寄存器都是64位,并且每个寄存器都有名字的,按照功能来划分,可分为一下几类,分别为:

  1. 通用寄存器
  2. 程序计数器
  3. 堆栈指针
  4. 链接寄存器
  5. 程序状态寄存器
  6. 零寄存器

下面分别说明这些寄存器的作用

通用寄存器

64bit : x0 ~ x28 ,每个寄存器都是64bit
32bit:w0 ~ w28,实际上是x0~x28寄存器的低32bit
x0~x7:通过用来存储函数的参数,如果函数有更多的参数使用堆栈来传递
x0:通常用来存放函数的返回值

register.png

程序计数器

程序计数器叫Program Counter,俗称PC,也就是x32寄存器,存储着CPU当前正在执行的地址。

堆栈指针

SP (Stack Pointer),就是x31寄存器,存储的是栈顶的地址
FP (Frame Pointer)FP也就是x29寄存器,存储着栈底的地址
随着函数的调用,SPFP会不断的变化。

链接寄存器

LR(Link Register),也就是x30寄存器,存储着函数的返回地址。
当函数结束时,就是通过LR寄存器的值,跳转到调用函数的位置继续往下执行。

程序状态寄存器

CPSR (Current Program Status Register),各个bit的含义如下图:

cpsr.jpeg

SPSR (Saved Program Status Register),在异常状态下使用,当发生异常时,会把CPSR的内容写入SPSR, 等异常恢复之后,又会把SPSR写会到CPSR中。

零寄存器

WZR
XZR
里面存储的值都是0。


常用指令

算术运算指令

mov 赋值指令

mov x0, #2  // 把2这个值赋值给x0寄存器
mov x0, x1  // 把x1寄存器中的值赋值给x0寄存器中

add
两个操作数相加,相加的结果存放到一个寄存器中

add, x2, x0, x1 //把x0的值与x1的值相加,得到的结果存放到x2寄存器中
add, x2, x0, #3 // 把x0的值与3相加,得到的结果存放到x2寄存器中

sub
第一个操作数减第一个操作数,得到的结果存放到一个寄存器中

sub, x2, x1, x0 // x1的值减去x0的值,得到的结果存放到*x2*寄存器中
sub, x2, x1, #4 // x1的值减去4,得到的结果存放到x2寄存器中

mul 乘法指令

mul x3, x1, x2  // x1 乘以 x2 的结果存放在 x3 中

sdiv 除法指令

sdiv    w0, w0, w1 // w0 除以 w1 的结果存放在 w0 中

逻辑运算指令

这里的运算是指位运算

  1. LSL 逻辑左移
    按操作数所指定的数量向左移位,低位用零来填充
  2. ASL 算术左移
    通逻辑左移,ASLLSL等价
lsl x0, x0, #1
asl x1, x1, x0
  1. LSR 逻辑右移
    按操作数所指定的数量向右移位,左端用来填充。

  2. ASR 算术右移
    按操作数所指定的数量向右移位,左端用最高位位的值来填充 ,如果是负数,最高位为1

lsr w1, w2, #1
asr x1, x2, #2
  1. ROR 循环右移
    按操作数所指定的数量向右循环移位, 左端用右端移出的位来填充。其中,操作数可以是通用寄存器,也可以是立即数。 当进行寄存器bit位数的循环右移操作时,通用寄存器中的值不改变。
ror x0, #6
ror w0, #32  // 循环移动了32位,w0的值不变

跳转指令

ret
相当于高级编程语言的return,函数返回。

cmp
将两个操作数相减,相减的结果会影响cpsr 寄存器的标志位,当结果小于0时,CPSR寄存器的N位为1, 等于0时, CPSR寄存器的Z为位1。
cmp x0, x1

b
跳转指令,跳转找指定的标记处执行;可以带条件跳转,一般跟cmp配合使用,使用到的条件域如下:

  1. EQ:equal
  2. NE:not equal
  3. GT:great than
  4. GE:great equal
  5. LT:less than
  6. LE:less equal

普通跳转
b testCodetestCode是汇编代码中的一个标记

条件跳转,当x0x1的值相等时,才跳转到testCode标记处执行代码

cmp x0, x1
beq testCode

bl
带返回值的跳转指令,这个指令会做两个操作

  1. 将下一条指令的地址存储到lr (x30)寄存器中
  2. 跳转到标记处开始执行代码
    bl testCode,当执行完testCode标记处代码后,又会返回来执行bl指令下面的指令。

内存操作

load从内存中读取数据

  1. ldr 地址没有偏移或者偏移为正数时使用
  2. ldur 地址偏移为负数时使用
    a) str x5 [x0] x0中是内存的地址,读取的值存放在x5寄存器中, x寄存器读取8个字节
    b)str w6 [x0] x0中是内存的地址,读取的值存放在w5寄存器中, w寄存器读取4个字节

说明: 地址还可以偏移 str x5 [x0, #0x4] , stur x5 [x0, #-0x4] , 偏移量为正数高地址偏移,使用str指令、偏移量为负数低地址偏移,使用stur指令。

  1. ldp 从指定内存中读取数据到一对寄存器中, ppair的意思,这一对寄存器必须是同类型的,要么x类型, 要么w类型。其中低位读取到第一个寄存器、高位读取到第二个寄存器
    ldp w5, w6, [x0] , 地址可以偏移 ldp x5, x6, [x0, #-x04]

store 往指定的内存写入数据

  1. str
str x1, [x0]
str w2, [x1]
str w3, [x1, #4]
  1. stur
stur x3, [x0, #-4]
stur w2, [x1, #-4]
  1. stp
stp x2, x3, [x0]
stp w4, w5, [x0]

使用方法与从内存中读取数据类似,只不过是往内存写入数据。


总结

本文整理了一些在逆向iOS程序时常见的一些汇编指令,当然在实际逆向的过程所看到的汇编指令更加复杂,比如还有函数调用栈,这是下篇的内容。如有错误请指正。

Refrence

  1. iOS开发同学的arm64汇编入门 - 刘坤的技术博客
  2. ARM汇编电子书
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,723评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,485评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,998评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,323评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,355评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,079评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,389评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,019评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,519评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,971评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,100评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,738评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,293评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,289评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,517评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,547评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,834评论 2 345

推荐阅读更多精彩内容