iOS汇编入门教程之ARM64汇编基础教程
前言
对于应用层开发人员而言,仅仅掌握Objective-C和系统框架即可较好的完成开发,但在涉及到应用加固、逆向分析等内容时仅有应用层开发技能就会显得非常的无力,因此掌握汇编对于突破iOS开发水平的瓶颈十分有效。
一个例子
以反调试为例,我们知道,通过调用ptrace函数可以阻止调试器依附。
ptrace(31, 0, 0, 0)
这种方式能够被函数hook轻易破解,例如使用facebook的fishhook。为了防止函数被hook,我们可以将函数调用转为通过汇编发起系统调用,即使用下面的代码。
mov x0, #31 mov x1, #0 mov x2, #0 mov x3, #0 mov x16, #26 svc #0x80
其中x0-x3存储的为函数入参,x16存储的为函数编号,通过Apple提供的System Call Table 可以查出ptrace的编号为26,最后一句指令发起了系统调用。通过使用_asm_指令能够将汇编代码嵌入我们的函数中,构成反调试方法。
// 使用inline方式将函数在调用处强制展开,防止被hook和追踪符号
static __attribute__((always_inline)) void anti_debug() {
// 判断是否是ARM64处理器指令集
#ifdef __arm64__
// volatile修饰符能够防止汇编指令被编译器忽略
__asm__ __volatile__(
"mov x0, #31\n"
"mov x1, #0\n"
"mov x2, #0\n"
"mov x3, #0\n"
"mov x16, #26\n"
"svc #0x80\n"
);
#endif
}
虽然上面的反调试机制并不完善,但是比直接调用ptrace要好上很多倍,从这一点来看,掌握汇编技能对于iOS应用安全和底层研究非常有利。
入门攻略
iOS设备主要使用的为ARM64汇编,因此本文主要介绍ARM64汇编的入门技巧。汇编入门最难的地方在于对栈的理解,汇编的所有指令操作都是围绕栈实现的,在汇编中,没有变量的概念,只有寄存器和内存。
栈
汇编中的栈是由高地址向低地址生长的数据结构,sp指针永远指向栈顶,需要记住的是,在某位置进行存储时,是向高地址进行的,下面以一个简单的例子讲解汇编的栈操作。我们以一段简单的C代码为例。
// hello.c
#include <stdio.h>
int test(int a, int b) {
int res = a + b;
return res;
}
int main() {
int res = test(1, 2);
return 0;
}
使用clang可以将其编译为特定指令集的汇编代码,这里我们将其编译为ARM64指令集的汇编代码。
clang -S -arch arm64 -isysroot `xcrun --sdk iphoneos --show-sdk-path` hello.c
完整的汇编代码如下。
.section __TEXT,__text,regular,pure_instructions .ios_version_min 11, 2 .globl _test .p2align 2 _test: ; @test ; BB#0: sub sp, sp, #16 ; =16 str w0, [sp, #12] str w1, [sp, #8] ldr w0, [sp, #12] ldr w1, [sp, #8] add w0, w0, w1 str w0, [sp, #4] ldr w0, [sp, #4] add sp, sp, #16 ; =16 ret .globl _main .p2align 2 _main: ; @main ; BB#0: sub sp, sp, #32 ; =32 stp x29, x30, [sp, #16] ; 8-byte Folded Spill add x29, sp, #16 ; =16 orr w0, wzr, #0x1 orr w1, wzr, #0x2 stur wzr, [x29, #-4] bl _test mov w1, #0 str w0, [sp, #8] mov x0, x1 ldp x29, x30, [sp, #16] ; 8-byte Folded Reload add sp, sp, #32 ; =32 ret .subsections_via_symbols
本节我们只讨论栈操作,因此忽略main函数和printf调用部分,我们只看对test函数的调用,节选这一段汇编代码如下。
sub sp, sp, #16 ; =16 str w0, [sp, #12] str w1, [sp, #8] ldr w0, [sp, #12] ldr w1, [sp, #8] add w0, w0, w1 str w0, [sp, #4] ldr w0, [sp, #4] add sp, sp, #16 ; =16 ret
首先介绍一下基本指令和指令的学习方式,要查询某个指令如何使用,最好的方式是去查询ARM公司提供的官方文档,在官方文档页面可以直接搜索指令并查看用法和例程,本文会简单讲解上面的汇编代码中出现的指令。
sub用于对寄存器实施减法, suba,b,c等价于 a=b-c,在ARM汇编中,目的操作数一般出现最前方,例如 mov ra,rb 代表将rb寄存器的值复制到ra寄存器。add和sub同理,只是将减法变成了加法。
str和ldr是一对指令,str的全称是store register,即将寄存器的值存储到内存中,ldr的全称是load register,即将内存中的值读到寄存器,因此他们的第一个参数都是寄存器,第二个参数都是内存地址。[sp,#12] 代表 sp+12 这个地址,同理 [sp,#-12] 代表 sp-12 这个地址。注意这里的数字都是以字节为单位的偏移量,以 str w0,[sp,#12] 为例,w是4字节的寄存器,这个指令代表将w0寄存器的值存储在sp+12这个地址上,由于w0有4个字节,所以存储后会占据 sp+12~sp+16这个内存区域。
下面将分段讲解这段汇编代码,在编译器生成汇编时,首先会计算需要的栈空间大小,并利用sp指针向低地址开辟相应的空间,我们再来看一下test函数。
int test(int a, int b) {
int res = a + b;
return res;
}
这里涉及了3个int变量,分别是a、b、res,int变量占据4个字节,因此一共需要12个字节,但ARM64汇编为了提高访问效率要求按照16字节进行对齐,因此需要16byte的空间,也就是需要在栈上开辟16字节的空间,我们来看汇编的第一句,正是将sp指针下移16字节。
sub sp, sp, #16
sp下移16后,留下了4个4字节的内存空格,共计16字节,我们继续看下面的句子。
这两句的含义是将w0存储在sp+12的格子中,w1存储在sp+8的格子中,上面的例子中提到 x0, x1等寄存器将顺序存放函数的入参,x0和w0是同一个寄存器的不同大小体现,x0为8字节,w0为x0的前4个字节,因此w0是函数的第一个入参a,w1是函数的第二个入参b,由于存储是从低地址到高地址的,所以a将占据 sp+12~sp+16,同理b将占据 sp+8~sp+12,则栈的结构变为下图。
str w0, [sp, #12] str w1, [sp, #8]
按照“上帝视角”,接下来test函数应该将a和b相加,需要注意的是,只有寄存器才能参与运算,因此接下来的汇编代码又将变量的值从内存中读出,进行相加运算。
ldr w0, [sp, #12] ldr w1, [sp, #8] add w0, w0, w1
由此可见先存储再读取后运算其实是多余的,这是没有进行编译优化的结果,学习不进行编译优化的汇编更能让我们理解其工作机制。
接下来的代码将w0存入了sp+4,也就是res变量的内存区域。
str w0, [sp, #4]
接下来就要进行返回了,在例子中我们提到,函数的返回值一般存储在x0寄存器中返回,因此我们需要将res的值载入x0寄存器。
ldr w0, [sp, #4]
这里之所以使用w寄存器,是因为int为4字节,这也就是类型转换时带来信息丢失的原因,例如从long到int的转换就类似于将x寄存器的值以w的形式进行存储。最后的代码为将栈还原,并返回到函数调用处继续向下执行。
add sp, sp, #16 ret
显然,经过这样的操作,栈被完全还原到了函数调用以前的样子,需要注意的细节是,栈空间中的内存单元并未被清空,这也就导致下一次使用低地址的栈时,未初始化单元的值是不确定的,这也就是局部变量不初始化值随机的根本原因。
通过上面的例子,我们对栈有了基本的认识,汇编的操作基本都是对栈进行的,只要理解了栈机制,只需要学习各种指令,即可掌握足够使用的汇编技能。
深入
在了解了栈以后,就可以看一些较为复杂的汇编片段来进行学习了,初级阶段可以尝试看着函数写汇编代码,高级阶段要求能够看着汇编还原成函数逻辑,本文仅仅介绍入门基础,下面推荐一些大牛的博客供大家深入学习汇编技能。
1.知兵的知乎专栏
2.刘坤的汇编入门文章
总结
掌握ARM汇编能够帮助开发者更好地了解编译器和CPU的工作原理,除了能够指导编码外,还能够扩宽视野,通过反编译分析一些闭源代码的逻辑或是进行一些安全加固,因此在汇编上付出时间是十分值得的。
参考资料
1.知兵. iOS调试进阶 https://zhuanlan.zhihu.com/c_142064221
2.ARM官方文档 http://infocenter.arm.com/help/index.jsp?topic=/com.arm.doc.dui0802a/STUR_fpsimd.html
3.反调试和绕过 http://jmpews.github.io/2017/08/09/darwin/反调试及绕过
以上所述是小编给大家介绍的iOS汇编入门教程之ARM64汇编基础,希望对大家有所帮助!
相关推荐
-
ARM汇编逆向iOS 实战
我们先讲一些ARM汇编的基础知识.(我们以ARMV7为例,最新iPhone5s上的64位暂不讨论) 基础知识部分: 首先你介绍一下寄存器: R0-R3:用于函数参数及返回值的传递 R4-R6, R8,R10-R11:没有特殊规定,就是普通的通用寄存器 R7:栈帧指针(Frame Pointer).指向前一个保存的栈帧(stack frame)和链接寄存器(link register, lr)在栈上的地址. R9:操作系统保留 R12:又叫IP(intra-procedure scratch),
-
iOS汇编入门教程之在Xcode工程中嵌入汇编代码的方法
简介 上一篇文章ARM64汇编基础中介绍了汇编在iOS开发中的应用以及ARM汇编基础知识,本文将介绍在C或Objective-C构成的工程中如何嵌入汇编代码. 注意 在调试ARM汇编时,Xcode的Build对象必须为真机,如果对象为模拟器则是x86汇编. 内联汇编 汇编与C间接通信 在函数中可以直接插入汇编代码来影响函数的运行逻辑,使用的语法为编译指令 __asm__ ,注意插入汇编有可能会被编译器忽略,因此需要加入 __volatile__ 修饰符保证汇编代码有效. 下面给出一个简单的例子,
-
使用ARM汇编破解iOS程序基础知识分享
一.Thumb指令与ARM指令 Thumb指令为16位,因此存储代码的密度高,节省存储空间.但是功能不全,它只是ARM指令(32位)集的补充,是ARM指令集下的一个子集.在初级阶段我们不需要了解这些知识,只要有个概念知道有这么个东西就可以. 二.ARM的寄存器初步了解 R0-R3: 用于函数参数及返回值的传递,超过4个参数,其它参数存在栈中,在ARM中栈是向下生长的,R0还可以作为返回值. R4-R6, R8,R10-R11: 没有特殊规定,就是普通的通用寄存器 R7: 栈帧指针,指向母函数与被
-
iOS安全防护系列之ptrace反调试与汇编调用系统方法详解
关于系统调用 ptrace是一个系统调用.那系统调用是什么东东呢?它是一个系统提供的很强大的底层服务.用户层的框架是构建在system call之上的. macOS Sierra大约提供了500个系统调用.通过以下命令来了解你系统上的系统调用的个数: ➜ ~ sudo dtrace -ln 'syscall:::entry' | wc -l 这个命令使用了另外一个更强大的工具叫DTrace,暂不详谈它. 一 lldb调试原理:debugserver 1.xcode的lldb之所以能调试app,是
-
iOS Xcode汇编模式切换的方法介绍
一.概念 1.汇编指令 : 模拟器上运行的是Intel指令,而真机上运行的是arm指令, 2.每条汇编指令的格式总是由: 操作码, 操作数1,操作数2,操作数3组成. 操作数要么就是常数,要么就是寄存储器,要么就是内存地址.你所看到的操作数中的RAX,RSI,RDI,R0,R1... 这些都是CPU中的寄存器(关于寄存器部分我将在下一篇文章中具体介绍).而且在XCODE的左下角部分我们可以查看当前CPU中的所有寄存器的值,你可以打印并修改他们. 每个函数方法的第一个地址,就是这个函数的入口地址,
-
iOS汇编入门教程之ARM64汇编基础教程
前言 对于应用层开发人员而言,仅仅掌握Objective-C和系统框架即可较好的完成开发,但在涉及到应用加固.逆向分析等内容时仅有应用层开发技能就会显得非常的无力,因此掌握汇编对于突破iOS开发水平的瓶颈十分有效. 一个例子 以反调试为例,我们知道,通过调用ptrace函数可以阻止调试器依附. ptrace(31, 0, 0, 0) 这种方式能够被函数hook轻易破解,例如使用facebook的fishhook.为了防止函数被hook,我们可以将函数调用转为通过汇编发起系统调用,即使用下面的代码
-
Prometheus 入门教程之SpringBoot 实现自定义指标监控
上篇文章我们已经可以在 Grafana 上看到对应的 SpringBoot 应用信息了,通过这些信息我们可以对 SpringBoot 应用有更全面的监控.但是如果我们需要对一些业务指标做监控,我们应该怎么做呢?这篇文章就带你一步步实现一个模拟的订单业务指标监控. 假设我们有一个订单系统,我们需要监控它的实时订单总额.10 分钟内的下单失败率.请求失败数.那么我们应该怎么做呢? 添加业务监控指标 在 spring-web-prometheus-demo 项目的基础上,我们添加一个 Promethe
-
AngularJS入门教程之AngularJS表达式
表达式用于应用程序数据绑定到HTML.表达式都写在双括号就像{{表达式}}.表达式中的行为跟ng-bind指令方式相同. AngularJS应用表达式是纯javascript表达式,并输出它们被使用的数据在那里. AngularJS表达式格式 : {{expression }} AngularJS表达式可以是字符串.数字.运算符和变量 数字运算{{1 + 5}} 字符串连接{{ 'abc' + 'bcd' }} 变量运算 {{ firstName + " " + lastName }}
-
AngularJS入门教程之Helloworld示例
本文实例讲述了AngularJS入门教程之Helloworld示例.分享给大家供大家参考,具体如下: 什么是AngularJs? angularjs是一个为动态WEB应用设计的结构框架.它能让你使用HTML作为模板语言,通过扩展HTML的语法,让你能更清楚.简洁地构建你的应用组件.它的创新点在于,利用数据绑定和依赖注入,它使你不用再写大量的代码了.这些全都通过浏览器端的javascript实现,这也使得它能够完美地和任何服务器技术结合. AngularJS简单的Helloworld例子: <!D
-
AngularJS入门教程之AngularJS模型
相关阅读: AngularJS入门教程之AngularJS表达式 AngularJS入门教程之AngularJS指令 在前面表达式和指令的教程中了解到,AngularJS模型(ng-model)可以将HTML输入域中的值与AngularJS创建的变量绑定. <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <script src="http://apps.bdimg.
-
AngularJS入门教程之AngularJS指令
熟悉HTML的朋友都知道,HTML有很多属性.比如<a>标签的href属性可以来指定链接的URL地址,<input>标签的type属性可以用来指定input的类型.AngularJS指令就是通过扩展HTML的属性来为 AngularJS应用增加功能. AngularJS指令用于扩展HTML.这些都是先从ng- 前缀的特殊属性.我们将讨论以下指令: 常用AngularJS指令 ng-app 指令初始化一个 AngularJS 应用程序. ng-init 指令初始化应用程序数据. ng
-
Zend Framework入门教程之Zend_View组件用法示例
本文实例讲述了Zend Framework入门教程之Zend_View组件用法.分享给大家供大家参考,具体如下: Zend_View组件可以实现MVC模式中视图部分的代码与Model和Controller部分的分离. 使用步骤:首先在Controller中建立一个Zend_View实例,并将需要的变量传递给它:之后,Controller通知Zend_View显示一个特定的视图, 生成View输出的内容. 实例之控制器代码脚本: <?php //使用模型来获取书籍作者和标题相关数据 $data =
-
Zend Framework入门教程之Zend_Session会话操作详解
本文实例讲述了Zend Framework入门教程之Zend_Session会话操作.分享给大家供大家参考,具体如下: 会话命名空间 实现会话 代码: <?php require_once "Zend/Session/Namespace.php"; $myNamespace = new Zend_Session_Namespace('Myspace'); if(isset($myNamespace->numberOfPageRequests)) { $myNamespace
-
php入门教程之Zend Studio设置与开发实例
本文实例讲述了php入门教程之Zend Studio设置与开发方法.分享给大家供大家参考,具体如下: 新建文档的模板设置 新建文档的模板设置 Demo1.php: <?php echo "阅谁问君诵,水落清香浮." ?> orderform.php: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD