iOS逆向 玩转LLDB调试

欢迎阅读iOS逆向系列（按序阅读食用效果更加）

• iOS逆向 RSA理论
• iOS逆向 hash理论
• iOS逆向 应用重签名+微信重签名实战
• iOS逆向 Shell脚本+脚本重签名
• iOS逆向 代码注入+Hook
• iOS逆向 MachO文件
• iOS逆向 dyld流程
• iOS逆向 HOOK原理之fishhook
• iOS逆向 玩转LLDB调试

写在前面

平常开发中常常会用到LLDB调试，可能用的最多的命令就是po，而在逆向领域中根本不可能让你在代码中下断点调试，因而乎LLDB就成了很是重要的手段

1、LLDB

LLDB（Low Lever Debug）的缩写，是默认内置于XCode的动态调试工具，它与LLVM编译器一块儿，存在于主窗口底部的控制台中，可以带给咱们更丰富的流程控制和数据检测的调试功能

标准的LLDB提供了一组普遍的命令，旨在与老版本的GDB命令兼容。除了使用标准配置外，还能够很容易的自定义LLDB以知足实际须要

2、LLDB命令

1. LLDB语法

<command> [<subcommand> [<subcommand>...]] <action> [-options [option-value]] [argument[argument...]]
复制代码

• <command>（命令）和<subcommand>（子命令）：LLDB调试命令的名称
• <action>：执行命令的操做
• <options>：命令选项
• <arguement>：命令的参数
• []：表示命令是可选的，能够有也能够没有

好比breakpoint set -n test

• command：breakpoint表示断点命令
• action：set表示设置断点
• option：-n表示根据方法name设置断点
• arguement：test表示方法名为test

2. LLDB初级使用

LLDB命令都是在进入LLDB状态（运行状态下点击“暂停符号”）才能使用生效的

• 查看断点列表
  • where是断点所在处
  • address是断点地址
  • option disable断点被禁用

(lldb) breakpoint list
复制代码

• 设置单个断点

// 设置c函数的断点
(lldb) breakpoint set -n cMethod
// 设置oc函数的断点
(lldb) breakpoint set -n "[ViewController ocMethod1]"
复制代码

• 设置一组断点

(lldb) breakpoint set -n "[ViewController ocMethod1]" -n "[ViewController ocMethod2]" -n "[ViewController ocMethod3]"
复制代码

• 禁用/启用某一组断点

// 禁用
(lldb) breakpoint disable 1
// 启用
(lldb) breakpoint enable 1
复制代码

• 禁用/启用某一个断点

// 禁用
(lldb) breakpoint disable 1.1
// 启用
(lldb) breakpoint enable 1.1
复制代码

• 删除全部断点

(lldb) breakpoint delete
复制代码

• "删除"某一组断点（不能删除单个断点，只能禁用单个断点）

(lldb) breakpoint delete 1.1
复制代码

• 设置某一个方法的断点

(lldb) breakpoint set --selector touchesBegan:withEvent:
复制代码

• 设置某文件下某一个方法的断点

(lldb) breakpoint set --file ViewController.m --selector touchesBegan:withEvent:
复制代码

• 设置全部匹配方法名的断点

(lldb) breakpoint set -r ocMethod
复制代码

• 退出LLDB模式

(lldb) c
复制代码

• 查看帮助

// 查看LLDB指令帮助
(lldb) breakpoint help
// 查看LLDB的breakpoint帮助
(lldb) breakpoint help
复制代码

3. LLDB初级使用小结

• 手动打下的断点也会出如今LLDB的断点列表中，但LLDB的断点不会出如今Xcode的断点列表处
• 手动打下的断点能够经过单击/长按来禁用/取消断点，也能够经过LLDB命令来操做，但LLDB下的断点只能经过LLDB来操做
• 删除的断点虽然不在列表中，可是新增断点会从先前的断点以后排序

命令	意义	简写
breakpoint list	查看断点列表	breakpoint l
breakpoint set -n cMethod	设置单个断点	b -n cMethod
breakpoint set -n "[ViewController ocMethod1]" -n "[ViewController ocMethod2]"	设置一组断点	b -n "[ViewController ocMethod1]" -n "[ViewController ocMethod2]"
breakpoint set --selector touchesBegan:withEvent:	设置某一个方法的断点	b -selector touchesBegan:withEvent:
breakpoint set --file ViewController.m --selector touchesBegan:withEvent:	设置某文件下某一个方法的断点	b -f ViewController.m --selector touchesBegan:withEvent:
breakpoint set -r ocMethod	设置全部匹配方法名的断点	b -r ocMethod
breakpoint enable 1	启用某一组断点	breakpoint en 1
breakpoint disable 1	禁用某一组断点	breakpoint dis 1
breakpoint enable 1.1	启用某一个断点	breakpoint en 1.1
breakpoint disable 1.1	禁用某一个断点	breakpoint dis 1.1
breakpoint delete	删除全部断点	breakpoint d
continue	退出LLDB模式	c
next	单步运行，将子函数当作总体一块儿执行	n
stpe	单步运行，将子函数当作总体一块儿执行	s

关于简写：

• b：breakpoint set
• l：list
• -n：--name
• --f：--file
• dis：disable
• en：enable

3、LLDB执行代码

前文中提到关于开发中最经常使用的po指令，在LLDB中并非print -out的意思，实际上是expression --object-

• p：做为expression的缩写，意指表达执行的意思
• o：则是object的缩写（经过help expression查看指令）
• po：执行对象——输出该对象的信息

  

既然知道了p指令有执行代码的做用，接下来就来玩一下

• 动态修改背景颜色（笔者在machOS 10.15.5+Xcode11上并不能成功）

  1. 进入手动断点（不要点击暂停符号，否则不能获取到self）
  2. 控制台输入p self.view.backgroundColor = [UIColor redColor];
  3. 过掉断点就能看到效果了

• 动态建立对象并赋值

  1. 设置一个全局变量FXPerson *p
  2. 一样进入手动断点
  3. 控制台输入p self.p = [FXPerson new]; self.p.name = @"Felix";
  4. 查看效果

     

4、函数调用栈

接下来在如下代码中进行调试，点击屏幕依次调用test、test1、test2，在test2处打下断点

- (void)testWithStr:(NSString *)str {
    NSLog(@"test");
    [self test1WithStr:str];
}

- (void)test1WithStr:(NSString *)str {
    NSLog(@"test1");
    [self test2WithStr:str];
}

- (void)test2WithStr:(NSString *)str {
    NSLog(@"test2");
    NSLog(@"%@", str);
}

- (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event {
    [self testWithStr:@"test"];
}
复制代码

1. bt——查看函数调用栈，可以看到函数调用的顺序

   

2. up/down——上下挪动函数调用

   

   

3. frame select 数字——跳转函数调用（0表示当前方法，2表示2个方法前）

   

4. frame variable——查看当前函数属性：内存地址、方法名、参数

   

5. thread return——结束当前函数调用，跳转回上一个调用栈的下一步（当前是跳转回第30行代码，准备执行31行代码）

   

由此，能够尝试在调用中修改参数的值从而完成新值打印

1. up修改已经调用过的函数参数

   • 使用up指令回到上一步，使用p str = @"F";进行修改

     

   • 过掉断点，仍是打印原来的值

     

2. 提早修改函数参数

   • 提早在上一处函数调用时打下断点进行修改

     

   • 过掉断点，新值被打印

     

总结：已经执行过的代码再怎么回滚也不能随意修改值，应当提早打下断点进行修改

5、内存断点

内存断点，顾名思义就是给内存下的断点

经过 watchpoint set variable self->_p->_name就能够给对应的属性内存下断点

• addr：内存地址
• size：所占内存字节
• state：当前是否可用

修改内存地址的值就会来到断点处（此时至关于KVO机制）同时也能看到函数调用栈

• 内存断点也能够经过watchpoint list来查看内存断电列表
• 也能够经过watchpoint delete进行删除

6、断点添加命令

相似于给程序添加脚本命令，断点执行也能够添加命令

• 经过breakpoint command add 1就能够给指定断点添加命令
• 经过DONE结束断点命令添加

断点到来时就会执行先前的命令了

7、target stop-hook

target stop-hook是一个给全部断点添加命令的指令——在每次stop的时候去执行一些命令（只对breakpoint、watchpoint有效）

只要target stop-hook add操做一番，任何断点都会触发添加的命令

单条命令能够简写成target stop-hook add -o "frame variable"（-o表示单条命令）

一样的，也可使用target stop-hook list查看列表

target stop-hook disable进行禁用

target stop-hook delete/undisplay 1进行禁用

接下来介绍一个高阶的操做

LLDB启动的时候就会去加载一个叫作.lldbinit的文件，在/Users/用户名目录下

若是没有的话能够经过vi .lldbinit建立，而后在文件中添加命令target stop-hook add -o "frame variable"

从新启动运行Xcode.lldbinit文件中的命令就会被加载，是个很方便的调试手段！

8、ASLR

ASLR（Address space layout randomization）全称叫作地址空间配置随机加载，是一种防范内存损坏漏洞被利用的计算机安全技术，在各大平台都有应用

ASLR经过随机放置进程关键数据区域的地址空间来防止攻击者能可靠地跳转到内存的特定位置来利用函数

说得简单易懂些就是物理地址 = ASLR + 虚拟地址

接下来经过实例来了解一下这个家伙吧

- (void)fxTest {
    NSLog(@"%s", __func__);
}

- (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event {
    [self fxTest];
}
复制代码

cmd+B编译生成MachO文件，使用Hopper打开，找到fxTest方法

此时拿到了“内存地址”就能够打下内存断点来进行调试了，其实0x1340只是个虚拟地址——只是相对于MachO文件的偏移地址（前面的1表示空段，对地址没有任何影响）

刚才说了物理地址 = ASLR + 虚拟地址，那么此时的ASLR又是多少呢？

经过image list就能够打印出来——0x000000010301e000就是这个进程的ASLR（看过dlyd源码就知道每次运行这个ASLR值都不相同）

实际地址 = 0x000000010ae85000 + 0x1340 = 0x10AE86340

写在后面

LLDB这些指令如同Xcode的快捷键通常，不掌握也无妨，掌握了就是锦上添花，多了一种调试的思路，便能让你拉开与同行之间的差距