原文章出处:http://bbs.iosre.com/t/debugserver-lldb-gdb/65/12
*** 以下部分内容摘自《iOS应用逆向工程》第二版,以iOS 8为环境编写,应该也支持iOS 7,请大家注意。 ***
因为Apple已经弃gdb投lldb,所以随着我动态调试的次数越来越频繁,gdb上一个接一个的bug经常会让人很恼火。既然苹果打算建立自己的调试器王国,也投入了财力精力,那我们干脆也上手lldb玩玩,看看lldb是不是比gdb要更好用:lol:(以下操作在iPhone 5,iOS 8.1上测试,方法同样适用于arm64。更多内容请参照iphonedevwiki24)
一、配置debugserver与ARMDisassembler.framework
1. 在iOS中安装debugserver
debugserver运行在iOS上,顾名思义,它作为服务端,实际执行LLDB(作为客户端)传过来的命令,再把执行结果反馈给LLDB,显示给用户,即所谓的“远程调试”。在默认情况下,iOS上并没有安装debugserver,只有在设备连接过一次Xcode,并在Window→Devices菜单中添加此设备后,debugserver才会被Xcode安装到iOS的“/Developer/usr/bin/”目录下。
补充 :
首先来配置下设备上的调试环境,从xcode的/Developer/Platforms/iPhoneOS.platform/DeviceSupport/3.2目录下找到DeveloperDiskImage.dmg文件,而3.2则是对应的ios设备上的系统版本,在DeviceSupport目录下通常会包含如如2所示的版本列表:
图02
在实际的调试过程中只需要选择相应的版本就可以了。在每个目录下都存在一个DeveloperDiskImage.dmg文件,用ultraiso打开这个文件可以看到如图3的文件目录列表:
图3
在调试的过程中需要将整个dmg文件下的所有目录和文件拷贝到设备上的/Developer目录下,如图4所示。这一步可以使用ios的文件管理工具,或者使用winscp上传文件,不建议使用后者,太卡了~,如果使用过xcode开发调试过程序那么这个目录下的所有东西应该都是存在的,可以无需手工复制。
- 帮debugserver减肥
对照下表,记下设备的ARM信息。
我的iPhone 5对应的ARM是armv7s。将未经处理的debugserver从iOS拷贝到OSX中的“/Users/snakeninny/”目录下:
snakeninnysiMac:~ snakeninny$ scp root@iOSIP:/Developer/usr/bin/debugserver ~/debugserver然后帮它减肥:
snakeninnysiMac:~ snakeninny$ lipo -thin armv7s ~/debugserver -output ~/debugserver注意把这里的“armv7s”换成你的设备所对应的ARM。
- 给debugserver添加task_for_pid权限
下载ent.xml (381 Bytes) 到OSX的“/Users/snakeninny/”目录,然后运行:
snakeninnysiMac:~ snakeninny$ /opt/theos/bin/ldid -Sent.xml debugserver注意,此处的ldid27来自joedj,且“-S”选项与“ent.xml”之间是没有空格的。
补充:ent.xml文件内容
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>com.apple.springboard.debugapplications</key>
<true/>
<key>get-task-allow</key>
<true/>
<key>task_for_pid-allow</key>
<true/>
<key>run-unsigned-code</key>
<true/>
</dict>
</plist>
正常情况下,上面这条命令会在5秒内执行完毕。如果ldid卡住了,执行超时,就换一种方案:下载ent.plist (366 Bytes) 到“/Users/snakeninny/”,然后运行:
snakeninnysiMac:~ snakeninny$ codesign -s - --entitlements ent.plist -f debugserver
补充:实际测试ldid就卡住了,采用第二种方案:codesign通用.ent.plist文件内容
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/ PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>com.apple.springboard.debugapplications</key>
<true/>
<key>run-unsigned-code</key>
<true/>
<key>get-task-allow</key>
<true/>
<key>task_for_pid-allow</key>
<true/>
</dict>
</plist>
- 将经过处理的debugserver拷回iOS
将经过处理的debugserver拷回iOS,并添加执行权限,命令如下:
snakeninnysiMac:~ snakeninny$ scp ~/debugserver root@iOSIP:/usr/bin/debugserver
snakeninnysiMac:~ snakeninny$ ssh root@iOSIP
FunMaker-5:~ root# chmod +x /usr/bin/debugserver这里之所以把处理过的debugserver存放在iOS的“/usr/bin/”下,而没有覆盖“/Developer/usr/bin/”下的原版debugserver,一是因为原版debugserver是不可写的,无法覆盖;二是因为“/usr/bin/”下的命令无须输入全路径就可以执行,即在任意目录下运行“debugserver”都可启动处理过的debugserver。
拷贝ARMDisassembler.framework
将DeveloperDiskImage.dmg中的/Library/PrivateFrameworks/ARMDisassembler.framework拷贝到手机上/System/Library/PrivateFrameworks 目录下。
二、在iOS上用debugserver来attach进程
debugserver + lldb调试方法跟gdb最大的不同,在于前者是用OSX中的lldb远程连接debugserver,由debugserver作为lldb和iOS的中转,在执行命令和返回结果;而后者是gdb直接运行在iOS上。但对于一般的开发者来说,这个区别跟我们没关系,了解一下就好~
在iOS上运行下面的命令来attach进程,其中1234是我们指定的端口号:
debugserver *:1234 -a "SpringBoard"成功后会显示:
三、在OSX上用lldb远程调试
首先在Terminal中运行lldb,然后输入以下命令:
process connect connect://iOSIP:1234注意,这条命令执行耗时比较长,很多读者可能会以为iOS/OSX死掉了,其实没有,耐心等一会,看看@iOS应用逆向工程6有没有刷新微博,或在论坛里逛逛吧~
执行成功后会显示:
四、获取ASLR的offset
首先在lldb里输入"c"并回车,让进程继续执行;lldb有一个gdb没有的优点,就是可以在进程运行的过程中执行一些命令,这样就可以有效避免SpringBoard这样的进程在暂停过久后被WatchDog给kill掉。在lldb里输入
image list -o -f显示如下图片:
其中第一列[X]是image的序号,不用管;第二列是ASLR的offset(也就是对应image的虚拟内存slide);第三列是image的全路径和slide之后的基地址,也不用管~所以第二列就是我们需要的信息。
五、在内存地址上下断点
假如我们在SpringBoard这个image的0xb446(在_menuButtonDown:中)处下断点,则此地址在内存中的实际位置是0xb446 + 0x9a000 = 0xa5446,在lldb中对应的命令是:
br s -a 0xA5446执行成功后显示:
值得注意的是,lldb命令里如果涉及到加法操作,必须要加上单引号,即
br s -a '0x0009a000 + 0xb446'感谢@0xBBC 的提醒
六、更改寄存器的值
按下home键,触发断点,显示如图:
可以看到,lldb把包括断点在内的4条指令显示了出来,方便我们调试。这里,我们将r0的值设为0,让其跳转到0xa5470(0xb470 + 0x9a000)处。更改r0值的lldb命令是:
register write r0 0接着”ni“两次,我们就可以看到程序执行到了0xa5470处,如图:
七、用lldb启动一个App
debugserver -x backboard *:1234 /path/to/app/executable如
debugserver -x backboard *:1234 /Applications/MobileNotes.app/MobileNotes此命令会启动记事本,并断在dyld的第一条指令上,如图所示:
接下来,在lldb中持续输入“ni”,直到出现“error: invalid thread”的字样,如图所示:
稍等片刻,lldb即会停在程序的第一条指令上,如图所示:
此时我们即已处在进程内部,可以开始一窥究竟啦~
相较attach的半路出家,这种方式更有助于我们从头调试一个程序,可以观察到一些变量的初始化过程。
八、更多lldb命令
经过上面的操作,我们可以看到,lldb还是比较方便的,用惯了gdb而对它不熟悉的朋友可以通过lldb与gdb命令对照表46来熟悉lldb的命令。其实有了上面的几个操作,我们就可以开始简单动态分析程序了,相信能把上面六步走通的朋友,已经具备了举一反三的能力,其他需要用到的功能都可以Google到,当然更欢迎你到论坛里发帖提问或分享。好了,debugserver + lldb的简单介绍到此结束,接下来赶紧打开Terminal,hack起来吧~!
补充:
USB调试方法
通过wifi调试很慢,有时候"process connect"命令甚至会失败。如果你也遇到这样的情况,你可以通过USB而不是Wifi进行调试。
1. 首先在你的Mac上下载usbmuxd解压,并运行:
|
1
2
3
4
|
wget http:
//cgit.sukimashita.com/usbmuxd.git/snapshot/usbmuxd-1.0.8.tar.bz2
tar xjfv usbmuxd-1.0.8.tar.bz2
cd usbmuxd-1.0.8/python-client/
python tcprelay.py -t 1234:1234
|
2. 这样所有试图链接到localhost:1234的连接都会通过USB被重定向到你的iOS设备的1234端口
这样,上面第8步中的process connect命令就可以更改如下:
|
1
|
process connect connect:
//localhost:1234
|
然后你就可以像在Xcode中一样用lldb调试了。
Ref:
http://iphonedevwiki.net/index.php/DebugserveriPhone5的debugserver_armv7与debugserver_armv7s,采用lldb调试成功,但不可以正常显示thumb指令,会解释成arm指令.
589
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
