iOS逆向之lldb常用操作指令

用户4682003

发布于 2022-05-19 14:08:45

1.7K0

发布于 2022-05-19 14:08:45

介绍lldb之前，我们先补充一下上一篇iOS逆向之lldb调试分析CrackMe1讲的分析CrackMe1过程中如何从一开始打开app定位到buttonClick函数，然后再介绍lldb常用操作指令。

一、定位CrackMe1的buttonClick函数

分析一款新应用，条件允许的话一般都是先安装到相应设备中打开把玩一遍，记录不同操作获得的信息提示、内容展示或者发送的网络请求，为定位到相应的功能模块提供定位信息。当然，如果这款新应用是恶意应用。在安装、运行的时候，则要做好备份或者防止它窃取、破坏设备中的数据
具体安装运行CrackMe1，查看获得的信息提示打开app后,有一条text文本 “A secret Is Found In The Hidden Label!”。底下一个文本框及一个确认按钮。因此可以猜到这是要我们输入一个字符串来确认是不是Hidden Label隐藏的字符串。则随便在文本框中输入一个字符串，点击确认。可看到会有一个弹框消息 “Verification Failed.” 提示验证失败如下所示

安装运行CrackMe1后，我们即可通过过程中的相关信息尝试定位验证字符串的函数位置。具体的相关信息如 文本框的控件名UITextField、按钮相关的函数名如（buttonClick、btnClick等）或者通过提示框提示的验证信息（如“Verification Failed.”）都可定位到验证函数（相信各位大神都能在分析其他app时获得更多信息进行定位，有其他更多信息，请多多赐教，谢谢啦）如下所示以搜索 UITextField 为例

二、lldb常用操作指令

lldb常用操作指令主要是包含了lldb调试app流程中的各个步骤：

其中整个流程包括确定函数在哪个模块（确定函数在进程中的地址）；在函数位置下好断点（确定完地址后，则需要下断点，当进程恢复运行后，运行到断点处会停下）；开始启动程序；在进程停在断点处后查看进程当前的所有数据；修改函数流程等
image list（确定函数在进程中的地址，通过image list指令得到对应模块的ASLR地址随机偏移量 + ida中查看到的函数的地址等于函数在进程中的地址） image list 该指令是查看当前进程的所有模块，信息包含有 UUID 模块在内存中的地址模块文件的全路径三个部分如下图所示

在调试过程中，我们如果需要ASLR（随机偏移量）及 模块文件的全路径 因此要在后面加入参数 image list -o -f 则只显示ASLR（随机偏移量）及模块文件的全路径如下图所示

如果想了解更多image list的参数，则可以通过如下指令 help image list 如下图所示

br s -a address 通过函数地址下断点，这个地址即上一步计算得到的地址如下图所示

br list 查看下好后的断点列表如下图所示

br dis 禁用所有断点，当然也可以在后面加上序号只禁用对应序号的断点如下图所示

br en 启用所有断点，当然也可以在后面加上序号只启用对应序号的断点如下图所示

br del 删除所有断点，当然也可以在后面加上序号只删除对应序号的断点。删除所有断点时，会提示你是否确定删除如下图所示

br com add 1 在序号为1的断点处添加指令执行，当程序运行后断在序号为1的断点时执行添加的指令如下图所示

continue（c） 程序断在断点处，继续执行程序如下图所示

nexti（ni） 单步执行程序，而且步过，不进入函数体如下图所示

stepi（si） 单步执行程序，步入，会进入函数体，执行单条指令如下图所示

print、bt（查看进程当前的各项数据）p x0打印出寄存器中存储的值的类型及数据如下图所示po x0以object的形式打印出寄存器存储的值，查看object类型的一般使用这个，比如字符串如下图所示p/x sp以16进制的形式打印栈顶指针spx/20 sp当函数参数有超过寄存器的存放数量（32位最多存放4个参数，64位最多存放8个参数）时，则会将剩余的参数保存到栈中，则需要查看栈在内存中的数据如下图所示memory read -force -f A sp fp也可以使用上面指令读取从栈顶指针开始的内存中的值如下图所示bt查看程序调用的堆栈信息，即有时候需要确定该函数的上层调用函数，可通过堆栈信息找到如下图所示
register write register write x0 1 用于给寄存器赋值，如下面的给x0寄存器赋值为1，当我们遇到判断结果为0时，程序即将跳到结束函数，这时为了继续跟踪程序流程，则需要修改程序的结果使跳转跳到后续函数部分如下图所示