使用ARM匯編破解iOS程序基礎(chǔ)知識分享

更新時間：2015年11月10日 09:42:41 投稿：hebedich

最近對iOS逆向工程很感興趣。但查到的資料中都涉及到有ARM匯編，但都只是很泛地用到，并沒有對iOS上的ARM匯編進行比較詳細的講解。因此，經(jīng)過一系列的學習對iOS下的ARM有了一定的理解。在此打算用幾篇文字記錄下來，限于本人水平有限，如有錯誤請不吝賜教。

一、Thumb指令與ARM指令

　　Thumb指令為16位，因此存儲代碼的密度高，節(jié)省存儲空間。但是功能不全，它只是ARM指令（32位）集的補充，是ARM指令集下的一個子集。在初級階段我們不需要了解這些知識，只要有個概念知道有這么個東西就可以。

二、ARM的寄存器初步了解

　　R0-R3:　　　　　　　　用于函數(shù)參數(shù)及返回值的傳遞，超過4個參數(shù)，其它參數(shù)存在棧中，在ARM中棧是向下生長的，R0還可以作為返回值。
　　R4-R6, R8,R10-R11:　沒有特殊規(guī)定，就是普通的通用寄存器
　　R7:　　　　　　　　　　棧幀指針，指向母函數(shù)與被調(diào)用子函數(shù)在棧中的交界。
　　R9:　　　　　　　　　　在iOS3.0被操作系統(tǒng)保留
　　R12:　　　　　　　　　內(nèi)部過程調(diào)用寄存器，動態(tài)鏈接時會用到，不必深究
　　R13:　　　　　　　　　SP(stack pointer)，是棧頂指針
　　R14:　　　　　　　　　LR(link register)，存放函數(shù)的返回地址。
　　R15:　　　　　　　　　PC(program counter)，指向當前指令地址。
　　CPSR:　　　　　　　　當前程序狀態(tài)寄存器，在用戶狀態(tài)下存放像condition標志中斷禁用等標志的。
　　另外還有VFP(向量浮點運算)相關(guān)的寄存器，不在列舉。

三、常用匯編

　　助記符　　說明
　　ADC　　帶進位的加法
　　ADD　　加法
　　AND　　邏輯與
　　B　　　分支跳轉(zhuǎn)，很少單獨使用
　　BL 分支跳轉(zhuǎn)，跳轉(zhuǎn)后返回地址存入r14
　　BX 分支跳轉(zhuǎn)，并切換指令模式（Thumb/ARM）
　　CMP 比較值，結(jié)果存在程序狀態(tài)寄存器，一般用于分支判斷
　　BEQ 結(jié)果為0則跳轉(zhuǎn)
　　BNE 結(jié)果不為0跳轉(zhuǎn)
　　LDR 加寄存器，從內(nèi)存加載到寄存器
　　LDRB 裝載字節(jié)到寄存器
　　LDRH 裝載半字到寄存器（一個字是32位）
　　LSL 邏輯左移這是一個選項，不是指令
　　LSR 邏輯右移這是一個選項，不是指令
　　MOV 傳送值/寄存器到一個寄存器
　　STR 存儲一個寄存器，寄存器值存到內(nèi)存
　　STRB 存儲一個字節(jié)
　　STRH 存儲一個半字
　　SUB 減法
　　PUSH POP 堆棧操作

四、函數(shù)調(diào)用

　　函數(shù)的參數(shù)、局部變量、返回地址都在棧上存著，這部分棧上的內(nèi)存稱為棧幀。和R0~R15（不一定全部）、CPSR等一起構(gòu)成了函數(shù)的運行環(huán)境。每一個函數(shù)系統(tǒng)都會分配一個棧幀，執(zhí)行完成后系統(tǒng)自動收回。每個函數(shù)都以為R0~R15、CPSR等CPU相關(guān)寄存器為自己一人享有，所以要做一些必要操作。

　　舉個例子：假設(shè)A調(diào)用B時，那么A要保存自己的運行環(huán)境（保存現(xiàn)場），B執(zhí)行完后，要恢復A的運行環(huán)境（恢復現(xiàn)場）；另外A還可以通過R0—R4來傳遞參數(shù)，參數(shù)超過4個可以通過棧，B返回時可以通過R0傳遞返回值。其中主要涉及的就是棧的操作和寄存器的操作。下圖為函數(shù)調(diào)用前后棧的布局，左邊為調(diào)用前，右邊為調(diào)用后，當B返回時應回到左邊狀態(tài)（A調(diào)用B之前的狀態(tài)，就像沒有調(diào)用B一樣）。

　　在上圖中，一個棧幀除了已經(jīng)提到的參數(shù)區(qū)域(parameter area)、鏈接區(qū)域(linkage area)、局部變量存儲區(qū)(local storage area)外還有棧幀指針存放區(qū)域(saved frame pointer)、寄存器存儲區(qū)(saved registers area)，棧幀寄存器就不再解釋，寄存器存儲區(qū)：保存非易失寄存器（R4,R5,R6,R8,R10,R11）,后面的匯編代碼例子會介紹。

　　開始調(diào)用（現(xiàn)場保護）：

　　1）LR入棧；

　　2）R7入棧，包存要恢復的寄存器入棧；

　　3）R7 = SP地址；

　　4）將callee會修改且在返回caller時需要恢復的寄存器入棧；

　　5）分配?？臻g給子程序使用。

　　下圖為匯編代碼（使用hopper disassemble反編譯的代碼），分析如下：

　　第一行：將LR, R7, R4-R6入棧；

　　第二行：r7=sp-0xc（指向old R7），之所以減去0xc因為PUSH后，r4，r5，r6占去12個字節(jié)；

　　第三行：保存要恢復的寄存器；

　　第四行：給當前函數(shù)開辟?？臻g。