iOS逆向之lldb常用操作指令学习

介绍lldb之前，我们先补充一下上一篇iOS逆向之lldb调试分析CrackMe1讲的分析CrackMe1过程中如何从一开始打开app定位到buttonClick函数，然后再介绍lldb常用操作指令。

一、定位CrackMe1的buttonClick函数

1. 分析一款新应用，条件允许的话一般都是先安装到相应设备中打开把玩一遍，记录不同操作获得的信息提示、内容展示或者发送的网络请求，为定位到相应的功能模块提供定位信息。当然，如果这款新应用是恶意应用。在安装、运行的时候，则要做好备份或者防止它窃取、破坏设备中的数据

2. 具体安装运行CrackMe1，查看获得的信息提示

   打开app后,有一条text文本 “A secret Is Found In The Hidden Label!”。底下一个文本框及一个确认按钮。因此可以猜到这是要我们输入一个字符串来确认是不是Hidden Label隐藏的字符串。则随便在文本框中输入一个字符串，点击确认。可看到会有一个弹框消息 “Verification Failed.” 提示验证失败

   如下所示

   image

3. 安装运行CrackMe1后，我们即可通过过程中的相关信息尝试定位验证字符串的函数位置。具体的相关信息如 文本框的控件名UITextField、按钮相关的函数名如（buttonClick、btnClick等）或者通过提示框提示的验证信息（如“Verification Failed.”）都可定位到验证函数（相信各位大神都能在分析其他app时获得更多信息进行定位，有其他更多信息，请多多赐教，谢谢啦）

   如下所示

   以搜索 UITextField 为例

image

image

image

image

image

二、lldb常用操作指令

lldb常用操作指令主要是包含了lldb调试app流程中的各个步骤：

1. 其中整个流程包括确定函数在哪个模块（确定函数在进程中的地址）；在函数位置下好断点（确定完地址后，则需要下断点，当进程恢复运行后，运行到断点处会停下）；开始启动程序；在进程停在断点处后查看进程当前的所有数据；修改函数流程等

2. image list（确定函数在进程中的地址，通过image list指令得到对应模块的ASLR地址随机偏移量 + ida中查看到的函数的地址等于函数在进程中的地址）

   image list

   该指令是查看当前进程的所有模块，信息包含有

   UUID 模块在内存中的地址 模块文件的全路径 三个部分

   如下图所示

   image

   在调试过程中，我们如果需要ASLR（随机偏移量）及 模块文件的全路径 因此要在后面加入参数

   image list -o -f

   则只显示ASLR（随机偏移量）及模块文件的全路径

   如下图所示

   image

   如果想了解更多image list的参数，则可以通过如下指令

   help image list

   如下图所示

   image

3. breakpoint（在函数位置下断点）

   b function

   通过函数名下断点，好像只对系统函数有效果

   如下图所示

   image

   br s -a address

   通过函数地址下断点，这个地址即上一步计算得到的地址

   如下图所示

   image

   br list

   查看下好后的断点列表

   如下图所示

   image

   br dis

   禁用所有断点，当然也可以在后面加上序号只禁用对应序号的断点

   如下图所示

   image

   br en

   启用所有断点，当然也可以在后面加上序号只启用对应序号的断点

   如下图所示

   image

   br del

   删除所有断点，当然也可以在后面加上序号只删除对应序号的断点。删除所有断点时，会提示你是否确定删除

   如下图所示

   image

   br com add 1

   在序号为1的断点处添加指令执行，当程序运行后断在序号为1的断点时执行添加的指令

   如下图所示

   image
   image

4. run、continue、nexti、stepi（开始启动程序）

   run（r）

   重新运行程序

   如下图所示

   image

   continue（c）

   程序断在断点处，继续执行程序

   如下图所示

   image

   nexti（ni）

   单步执行程序，而且 步过，不进入函数体

   如下图所示

   image

   stepi（si）

   单步执行程序，步入，会进入函数体，执行单条指令

   如下图所示

   image

5. print、bt（查看进程当前的各项数据）

   p $x0

   打印出寄存器中存储的值的类型及数据

   如下图所示

   image

   po $x0

   以object的形式打印出寄存器存储的值，查看object类型的一般使用这个，比如字符串

   如下图所示

   image

   p/x $sp

   以16进制的形式打印栈顶指针sp

   x/20 $sp

   当函数参数有超过寄存器的存放数量（32位最多存放4个参数，64位最多存放8个参数）时，则会将剩余的参数保存到栈中，则需要查看栈在内存中的数据

   如下图所示

   image

   memory read -force -f A $sp $fp

   也可以使用上面指令读取从栈顶指针开始的内存中的值

   如下图所示

   image

   bt

   查看程序调用的堆栈信息，即有时候需要确定该函数的上层调用函数，可通过堆栈信息找到

   如下图所示

   image

6. register write

   register write x0 1

   用于给寄存器赋值，如下面的给x0寄存器赋值为1，当我们遇到判断结果为0时，程序即将跳到结束函数，这时为了继续跟踪程序流程，则需要修改程序的结果使跳转跳到后续函数部分

   如下图所示

   image

   要了解更多lldb相关知识的可自行访问如下链接

   https://lldb.llvm.org/use/tutorial.html