iOS逆向-arm64汇编学习

捣鼓了一段时间的iOS逆向相关的东西,在动态分析过程中会阅读汇编代码,分析代码的执行流程,在此记录下阅读汇编代码过程中经常遇到的一些指令。

当然如果不玩逆向也有必要学习汇编,在定位某些crash问题的时候会很有帮助,比如有时候程序挂在系统库里面,如果能读懂汇编代码,再利用一些调试技巧,可会达到意想不到的效果。

除此之外,学习汇编有利于帮助自己更深层次的理解程序,理解计算机。

说明:下面所描述的都是在arm64架构的汇编指令,在arm32或者x86架构会有所区别。


寄存器

arm64架构下,所有的寄存器都是64位,并且每个寄存器都有名字的,按照功能来划分,可分为一下几类,分别为:

  1. 通用寄存器
  2. 程序计数器
  3. 堆栈指针
  4. 链接寄存器
  5. 程序状态寄存器
  6. 零寄存器

下面分别说明这些寄存器的作用

通用寄存器

64bit : x0 ~ x28 ,每个寄存器都是64bit
32bit:w0 ~ w28,实际上是x0~x28寄存器的低32bit
x0~x7:通过用来存储函数的参数,如果函数有更多的参数使用堆栈来传递
x0:通常用来存放函数的返回值

register.png

程序计数器

程序计数器叫Program Counter,俗称PC,也就是x32寄存器,存储着CPU当前正在执行的地址。

堆栈指针

SP (Stack Pointer),就是x31寄存器,存储的是栈顶的地址
FP (Frame Pointer)FP也就是x29寄存器,存储着栈底的地址
随着函数的调用,SPFP会不断的变化。

链接寄存器

LR(Link Register),也就是x30寄存器,存储着函数的返回地址。
当函数结束时,就是通过LR寄存器的值,跳转到调用函数的位置继续往下执行。

程序状态寄存器

CPSR (Current Program Status Register),各个bit的含义如下图:

cpsr.jpeg

SPSR (Saved Program Status Register),在异常状态下使用,当发生异常时,会把CPSR的内容写入SPSR, 等异常恢复之后,又会把SPSR写会到CPSR中。

零寄存器

WZR
XZR
里面存储的值都是0。


常用指令

算术运算指令

mov 赋值指令

mov x0, #2  // 把2这个值赋值给x0寄存器
mov x0, x1  // 把x1寄存器中的值赋值给x0寄存器中

add
两个操作数相加,相加的结果存放到一个寄存器中

add, x2, x0, x1 //把x0的值与x1的值相加,得到的结果存放到x2寄存器中
add, x2, x0, #3 // 把x0的值与3相加,得到的结果存放到x2寄存器中

sub
第一个操作数减第一个操作数,得到的结果存放到一个寄存器中

sub, x2, x1, x0 // x1的值减去x0的值,得到的结果存放到*x2*寄存器中
sub, x2, x1, #4 // x1的值减去4,得到的结果存放到x2寄存器中

mul 乘法指令

mul x3, x1, x2  // x1 乘以 x2 的结果存放在 x3 中

sdiv 除法指令

sdiv    w0, w0, w1 // w0 除以 w1 的结果存放在 w0 中

逻辑运算指令

这里的运算是指位运算

  1. LSL 逻辑左移
    按操作数所指定的数量向左移位,低位用零来填充
  2. ASL 算术左移
    通逻辑左移,ASLLSL等价
lsl x0, x0, #1
asl x1, x1, x0
  1. LSR 逻辑右移
    按操作数所指定的数量向右移位,左端用来填充。

  2. ASR 算术右移
    按操作数所指定的数量向右移位,左端用最高位位的值来填充 ,如果是负数,最高位为1

lsr w1, w2, #1
asr x1, x2, #2
  1. ROR 循环右移
    按操作数所指定的数量向右循环移位, 左端用右端移出的位来填充。其中,操作数可以是通用寄存器,也可以是立即数。 当进行寄存器bit位数的循环右移操作时,通用寄存器中的值不改变。
ror x0, #6
ror w0, #32  // 循环移动了32位,w0的值不变

跳转指令

ret
相当于高级编程语言的return,函数返回。

cmp
将两个操作数相减,相减的结果会影响cpsr 寄存器的标志位,当结果小于0时,CPSR寄存器的N位为1, 等于0时, CPSR寄存器的Z为位1。
cmp x0, x1

b
跳转指令,跳转找指定的标记处执行;可以带条件跳转,一般跟cmp配合使用,使用到的条件域如下:

  1. EQ:equal
  2. NE:not equal
  3. GT:great than
  4. GE:great equal
  5. LT:less than
  6. LE:less equal

普通跳转
b testCodetestCode是汇编代码中的一个标记

条件跳转,当x0x1的值相等时,才跳转到testCode标记处执行代码

cmp x0, x1
beq testCode

bl
带返回值的跳转指令,这个指令会做两个操作

  1. 将下一条指令的地址存储到lr (x30)寄存器中
  2. 跳转到标记处开始执行代码
    bl testCode,当执行完testCode标记处代码后,又会返回来执行bl指令下面的指令。

内存操作

load从内存中读取数据

  1. ldr 地址没有偏移或者偏移为正数时使用
  2. ldur 地址偏移为负数时使用
    a) str x5 [x0] x0中是内存的地址,读取的值存放在x5寄存器中, x寄存器读取8个字节
    b)str w6 [x0] x0中是内存的地址,读取的值存放在w5寄存器中, w寄存器读取4个字节

说明: 地址还可以偏移 str x5 [x0, #0x4] , stur x5 [x0, #-0x4] , 偏移量为正数高地址偏移,使用str指令、偏移量为负数低地址偏移,使用stur指令。

  1. ldp 从指定内存中读取数据到一对寄存器中, ppair的意思,这一对寄存器必须是同类型的,要么x类型, 要么w类型。其中低位读取到第一个寄存器、高位读取到第二个寄存器
    ldp w5, w6, [x0] , 地址可以偏移 ldp x5, x6, [x0, #-x04]

store 往指定的内存写入数据

  1. str
str x1, [x0]
str w2, [x1]
str w3, [x1, #4]
  1. stur
stur x3, [x0, #-4]
stur w2, [x1, #-4]
  1. stp
stp x2, x3, [x0]
stp w4, w5, [x0]

使用方法与从内存中读取数据类似,只不过是往内存写入数据。


总结

本文整理了一些在逆向iOS程序时常见的一些汇编指令,当然在实际逆向的过程所看到的汇编指令更加复杂,比如还有函数调用栈,这是下篇的内容。如有错误请指正。

Refrence

  1. iOS开发同学的arm64汇编入门 - 刘坤的技术博客
  2. ARM汇编电子书

推荐阅读更多精彩内容