iOS 逆向工程与ARM汇编.docVIP

iOS 逆向之ARM汇编 我们先讲一些ARM汇编的基础知识。（我们以ARMV7为例，必威体育精装版iPhone5s上的64位暂不讨论） 基础知识部分：? 首先介绍一下寄存器： R0-R3:用于函数参数及返回值的传递 R4-R6, R8,?R10-R11:没有特殊规定，就是普通的通用寄存器 R7:栈帧指针(Frame Pointer).指向前一个保存的栈帧(stack frame)和链接寄存器(link register， lr)在栈上的地址。 R9:操作系统保留 R12:又叫IP(intra-procedure scratch?), R13:又叫SP(stack pointer)，是栈顶指针 R14:又叫LR(link register)，存放函数的返回地址。 R15:又叫PC(program counter)，指向当前指令地址。 CPSR:当前程序状态寄存器(Current Program State Register)，在用户状态下存放像condition标志中断禁用等标志的。 　　 ? 在其它系统状态中断状等状态下与CPSR对应还有一个SPSR，在这里不详述了。 另外还有VFP(向量浮点运算)相关的寄存器，在此我们略过，感兴趣的可以从后面的参考链接去查看。? 基本的指令： add 加指令 sub 减指令 str 把寄存器内容存到栈上去 ldr ?把栈上内容载入一寄存器中 .w是一个可选的指令宽度说明符。它不会影响为此指令的行为，它只是确保生成 32 位指令。 bl 执行函数调用，并把使lr指向调用者(caller)的下一条指令，即函数的返回地址 blx 同上，但是在ARM和thumb指令集间切换。 bx ?bx lr返回调用函数(caller)。? 接下来是函数调用的一些规则。 一. 在iOS中你需要使用BLX，BX这些指令来调用函数，不能使用MOV指令(具体意义下面会说) 二. ARM使用一个栈来来维护函数的调用及返回。ARM中栈是向下生长(由高地址向低地址生长的)。 函数调用前后栈的布局如图一（引用的苹果iOS ABI Reference）: 　　　　　　　　　　　　　 图（一）SP(stack pointer)指向栈顶(栈低在高地址)。栈帧(stack frame)其实就是通过R7及存在栈上的旧R7来标识的栈上的一块一块的存储空间。栈帧包括： 参数区域(parameter area)，存放调用函数传递的参数。对于32位ARM，前4个参数通过r0-r3传递，多余的参数通过栈来传递，就是存放在这个区域的。 链接区域(linkage area)，存放调用者(caller)的下一条指令。 栈帧指针存放区域(saved frame pointer)，存放调用函数的栈帧的底部，标识着调用者(caller)栈帧的结束及被调用函数(callee)的栈帧开始。 局部变量存储区(local storage area)。用于存被调函数(callee)的局部变量及在被调用函数(callee)结束后反回调用函数(call)之前需要恢复的寄存器内容。 寄存器存储区(saved registers area)。Apple的文档中是这样说的。但我认为这个区域和local storage area相邻且干的事也是存放需要恢复的寄存器内容，因此我觉得要不就把这个区域在概念上不区分出来，要不就把存放需要恢复的寄存器这项功能从local storage area中分出来。 当然这些都只是概念上的，其实实质上是没有区别的。 接下来看看在调用子函数开始及结尾时所要做的事情。(官方叫序言和结语, prologs and epilogs) 调用开始： LR入栈 R7入栈 R7 = SP地址。在经过前面两条入栈指令后，SP指向的地址向下移动，再把SP赋值给R7, 标志着caller栈帧的结束及callee的栈帧的开始 将callee会修改且在返回caller时需要恢复的寄存器入栈。 分配栈空间给子程序使用。由于栈是从高地址向低地址生长，所以通常使用sub sp, #size来分配。 调用结尾： 释放栈空间。add sp, #size指令。 恢复所保存的寄存器。 恢复R7 将之前存放的LR从栈上弹出到PC，这样函数就返回了。 -----------------------------------------------------------华丽的分割线------------------------------------------------------------- 实战部分(一)： 用XCode创建一个Test工程，新建一个.c文件，添加如下函数： 1 2 3 4 5 6 7 #include stdio.h ? int func(int a, int b, in