用debugserver+lldb代替gdb进行iOS远程动态调试

转载自：http://aigudao.net/archives/244.html

以下部分内容摘自《iOS应用逆向工程》第二版，以iOS 8为环境编写，应该也支持iOS 7，请大家注意。

因为Apple已经弃gdb投lldb，所以随着我动态调试的次数越来越频繁，gdb上一个接一个的bug经常会让人很恼火。既然苹果打算建立自己的调试器王国，也投入了钱力精力，那我们干脆也上手lldb玩玩，看看lldb是不是比gdb要更好用（以下操作在iPhone 5，iOS 7.0.4上测试，应该也适用于arm64，如果不行，请参照iphonedevwiki)。

我的硬件设备：

1. iPhone5s 系统：iOS 8.4
2. MacPro 系统：10.11

需要用到的软件：

1. Xcode6.4 (6E35b) ——iOS开发工具
2. Ldid ——签名工具，通过plist文件指定了授予一应用的一组特权
3. SSH ——远程控制
4. WhiteTerminal ——手机端终端模拟器
5. Lipo ——合并拆分对支持不同芯片的mach-o

1、下载编译ldid

git clone git://git.saurik.com/ldid.git
cd ldid
git submodule update --init

打开make.sh，将图中部分修改为自己电脑上的xcode名称或路径，保存后执行

./make.sh

完成以上操作会在ldid目录下生产一个mac 可执行程序 ldid。

2、获取并配置debugserver与ARMDisassembler.framework

我以xcode6.4为例，找到/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport/8.4 (12H141)/DeveloperDiskImage.dmg。

请注意：8.4 (12H141)是对应的iOS设备上的系统版本。

双击它，你会看到如下目录：

红色框圈起来的就是我们需要使用到的部分。

将ARMDisassembler.framework 拷贝到手机上/System/Library/PrivateFrameworks目录下。

很多人一定奇怪为啥要这步骤，你们可以自己试试，去掉ARMDisassembler.framework与存在ARMDisassembler.framework，在LLDB调试的过程看ARM反汇编的质量和效果。

可以使用scp拷贝到设备上去:

cd /Volumes/DeveloperDiskImage/Library/PrivateFrameworks
scp -r -p 22 ARMDisassembler.framework root@192.168.2.5:/System/Library/PrivateFrameworks

或者使用同步助手等工具直接放入相应文件夹。

3、提取对应设备版本的debugserver，并对其签名授予特权

1. 提取对应的debugserver（由于ldid不支持对FAT文件格式的mach-o签名，所以需要提取对应版本）

对照上图，根据自己手机支持的armv7、armv7s、arm64提取，我这边以iphone5s为例，是arm64，所以我使用

cd Development/DeveloperDiskImage/usr/bin/
mv debugserver _debugserver
lipo -thin arm64 _debugserver -output debugserver64

2. 保存以下授予特权内容为entitlement.xml

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
     <key>com.apple.springboard.debugapplications</key>
     <true/>
     <key>get-task-allow</key>
     <true/>
     <key>task_for_pid-allow</key>
     <true/>
     <key>run-unsigned-code</key>
     <true/>
</dict>
</plist>

3. 使用ldid或codesign对debugserver签名授予特权

ldid -Sentitlement.xml debugserver64

或者

codesign -s - --entitlements entitlement.xml -f debugserver64

注意：“-S”选项与“entitlement.xml”之间是没有空格的。

将签名授予特权的debugserver拷贝到手机/usr/bin目录下，并添加执行权限，命令如下：

scp -p 22 debugserver64 root@192.168.2.5:/usr/bin/debugserver
ssh root@192.168.2.5
chmod +x /usr/bin/debugserver

4、在iOS上用debugserver来attach进程和启动应用

attach进程

debugserver *:1234 -a "进程名称"
或者
debugserver *:1234 -a 进程id

ps -ax获取进程的pid

debugserver *:12345 -a xfish
debugserver-@(#)PROGRAM:debugserver  PROJECT:debugserver-320.2.89
 for arm64.
Attaching to process xfish...
Listening to port 12345 for a connection from *...

启动一个应用作为调试进程

debugserver -x backboard *:1234 /path/to/app/executable

5、在OSX上用lldb远程调试

首先在Terminal中运行lldb，然后输入以下命令：

process connect connect://192.168.2.5:12345

注意，这条命令执行耗时可能比较长，有些人可能会以为iOS/OSX死掉了，其实没有，耐心等一会。连接上之后lldb会自动断下停住。

6、获取ASLR的offset

在lldb里输入"c"并回车，让进程继续执行。lldb有一个gdb没有的优点，就是可以在进程运行的过程中执行一些命令，这样就可以有效避免SpringBoard这样的进程在暂停过久后被WatchDog给kill掉。在lldb里输入

image list -o -f

结果如下：

第一列[X]是模块的序号。

第二列是ASLR的产生的随机偏移值（也就是对应模块在虚拟内存中起始地址的偏移）。

第三列是模块的全路径和偏移之后的起始地址。

7、在内存地址上下断点

如果通过IDA Pro 获取到想要断点的image中的地址为0xb446，则此地址在内存中的实际位置是：image中地址 + ASLR的offset，即0xb446 + 0x9a000 = 0xa5446，通过以下语句即可使用lldb进行断点：

br s -a 0xA5446

值得注意的是，lldb命令里如果涉及到加法操作，必须要加上单引号，即：

br s -a '0x0009a000 + 0xb446'

7、更多lldb命令和操作

打印变量

print命令有许多种不同的格式可以由你来指定。它们以命令格式为print/或者更简单p/。接下来举个栗子。

默认的格式：

(lldb) p 16
16

16进制格式：

(lldb) p/x 16
0x10

二进制格式（t代表tow）：

(lldb) p/t 16
0b00000000000000000000000000010000
(lldb) p/t (char)16
0b00010000

你还可以使用p/c打印字符，或者是p/s打印一个非终止类型的字符串char *。完整列表戳这里。

变量

变量必须以美元符号作为开头：

(lldb) e int $a = 2
(lldb) p $a * 19
38
(lldb) e NSArray *$array = @[ @"Saturday", @"Sunday", @"Monday"]
(lldb) p [$array count]
2
(lldb) po [[$array objectAtIndex:0] uppercaseString]
SATURDAY
(lldb) p [[$array objectAtIndex:$a] characterAtIndex:0]
error: no known method '-characterAtIndex:'; cast the message send to the method's return type
error: 1 errors parsing expression

LLDB不能识别出所牵扯的变量类型，这种情况不时会遇到，我们可以给一点提示：

(lldb) p (char)[[$array objectAtIndex:$a] characterAtIndex:0]
'M'
(lldb) p/d (char)[[$array objectAtIndex:$a] characterAtIndex:0]
77

创建断点

b main.m:17 // 在源文件main.m的第17行下断点

b -a 0x123456 // 在内存0x123456处下断点

b isEven // 符合名字为isEven的所有方法都下断点

b -[UserViewController login:] // 精确到-[UserViewController login:]方法下断点

断点管理

br list // 可以查看所有设置的断点

br enable/ena <breakpointID> // 启用breakpointID对应的断点，无breakpointID则启用所有断点

br disable/dis <breakpointID> // 禁用breakpointID对应的断点，无breakpointID则禁用所有断点

br del <breakpointID> // 删除breakpointID对应的断点，无breakpointID则删除所有断点

(lldb) br li
Current breakpoints:
1: file = '/Users/arig/Desktop/DebuggerDance/DebuggerDance/main.m', line = 16, locations = 1, resolved = 1, hit count = 1

 1.1: where = DebuggerDance`main + 27 at main.m:16, address = 0x000000010a3f6cab, resolved, hit count = 1

(lldb) br dis 1
1 breakpoints disabled.
(lldb) br li
Current breakpoints:
1: file = '/Users/arig/Desktop/DebuggerDance/DebuggerDance/main.m', line = 16, locations = 1 Options: disabled

 1.1: where = DebuggerDance`main + 27 at main.m:16, address = 0x000000010a3f6cab, unresolved, hit count = 1

(lldb) br del 1
1 breakpoints deleted; 0 breakpoint locations disabled.
(lldb) br li
No breakpoints currently set.

执行任何的C/OC/C++/Swift命令

我们可以分配一些字节：

(lldb) e char *$str = (char *)malloc(8)
(lldb) e (void)strcpy($str,"munkeys")
(lldb) e $str[1] = 'o'
(char) $0 = 'o'
(lldb) p $str
(char *) $str = 0x00007fd04a900040"monkeys"

或者我们可以检查一些内存（使用x命令）来看我们新数组的4个字节：

(lldb) x/4c $str
0x7fd04a900040: monk

我们还可以后三个字节：

(lldb) x/1w `$str + 3`
0x7fd04a900043: keys

当你所要的活结束的时候别忘记了释放内存避免造成内存泄露：

(lldb) e (void)free($str)

打印调用堆栈

bt打印调用堆栈，加all可打印所有thread的堆栈。

更多指令，可以查看gdb与lldb命令对照表

唯一匹配原则

LLDB有个很省事的特性，如果输入的字母已经能匹配到某个命令，就可以直接执行，等于输入了完整的命令。

可以看到expression与e是等价的

变量查询与修改

1. expression

   expression 可简写为e，作用为执行一个表达式，首当其冲，它肯定可以用来查询当前堆栈变量的值。

   当然e的更主要的用法是通过执行表达式，动态修改当前线程堆栈变量的值，从而达到调试的目的（其实查询也很主要，只是会用另一种方式查询）。
   比如，我们可以在某个if..else..的语句前打上断点，直接修改条件表达式的值，使程序覆盖了不同分支，而不用苦心积虑地停止程序、hard code变量值来进行调试，节省了一大坨修改与编译时间。

   在上面这份测试代码，在进入条件判断语句前打了断点，那我们可以通过e命令，来自由控制程序走向任何一个分支。

   我们也可以通过执行表达式，实时改变当前的UI界面，方便界面代码的调试，比如我们可以执行下面代码来改变当前UI，让cellItem的边框显示出来，以判断我们的界面布局是否正确。

    e @import UIKit
    e cellItem.layer.borderWidth = 1

   这里有个特殊的问题，由于程序已经被断点暂停了，因此执行UI更新的线程也被暂停了。我们可以通过让程序继续运行，也可以通过另一条表达式来更新UI。

    e (void)[CATransaction flush]

   我们也可以用 call 来代替 expression --，其实我觉得用e更方便。 =。=

2. p、po

   在上面说过，在调试中，我们一般用e命令来修改变量，而查询变量一般用p与po命令。
   po的作用为打印对象，事实上，我们可以通过help po得知，po是expression -O --的简写，我们可以通过它打印出对象，而不是打印对象的指针。而值得一提的是，在help expression 返回的帮助信息中，我们可以知道，po命令会尝试调用对象的 description 方法来取得对象信息，因此我们也可以重载某个对象的description方法，使我们调试的时候能获得可读性更强，更全面的信息。

   -(NSString*)description
   {
       return [NSString stringWithFormat:@"Portal[%@, %@, %@, %@, %@, %@, %@]", ssid, mpUrl, ticket, authUrl, _openid, _tid, extend];
   }

   p即是print，也是expression --的缩写，与po不同，它不会打出对象的详细信息，只会打印出一个$符号，数字，再加上一段地址信息。由于po命令下，对象的description 有可能被随便乱改，没有输出地址消息。

   $符号在LLDB中代表着变量的分配。每次使用p后，会自动为你分配一个变量，后面再次想使用这个变量时，就可以直接使用。我们可以直接使用这个地址做一些转换，获取对象的信息

断点

1. breakpoint
   所有调试都是由断点开始的，我们接触的最多，就是以breakpoint命令为基础的断点。
   一般我们对breakpoint命令使用得不多，而是在XCode的GUI界面中直接添加断点。除了直接触发程序暂停供调试外，我们可以进行进一步的配置。
   

   
   
   • 添加condition，一般用于多次调用的函数或者循坏的代码中，在作用域内达到某个条件，才会触发程序暂停
   • 忽略次数，这个很容易理解，在忽略触发几次后再触发暂停
   • 添加Action，为这个断点添加子命令、脚本、shell命令、声效（有个毛线用）等Action，我的理解是一个脚本化的功能，我们可以在断点的基础上添加一些方便调试的脚本，提高调试效率。
   • 自动继续，配合上面的添加Action，我们就可以不用一次又一次的暂停程序进行调试来查询某些值（大型程序中断一次还是会有卡顿），直接用Action将需要的信息打印在控制台，一次性查看即可。

   除去在代码中直接点击添加断点外，我们也可以在 command + 7 breakpoint页面下直接添加相关的断点。我们常用的有 Exception Breakpoint 与 Symbolic Breakpoint
   

   
   
   • Add Exception Breakpoint
     Exception Breakpoint为异常断点。在某些情况下，TableView的数据源与UI操作不一致，或者容器插入了nil的指针，将消息传至野指针，都会导致程序的crash，并且LLDB输出的信息不是很友好。加上异常断点，能够使程序在抛出异常的栈自动暂停，可直接定位导致抛出异常的代码。在一般的开发流程中，都建议开启这个异常断点，反正你总是会crash的嘿嘿。
   • Add Symbolic Breakpoint
     Symbolic Breakpoint 为符号断点。有时候，我们并不清楚程序会在什么情况下调用某一个函数，那我们可以通过符号断点来获取调用该函数时的程序堆栈。当然，在自己实现的类，我们也可以在该函数实现的地方打上断点，但如果需要定位其他框架提供的API的调用，就只能使用符号断点啦。

   当然，LLDB的breakpoint命令也可以实现上述的功能，因为不常用，所以这里就简单列举一些用法。 breakpoint set -n trigger //在所有类的trigger函数实现中打上断点

    breakpoint set -f ViewController.m -n trigger //在ViewController.m中的trigger方法打上断点 
    breakpoint set -f ViewController.m -l 50 //在ViewController.m的50行打上断点 
    breakpoint set -f ViewController.m -n trigger: -c testCondition > 5 //在ViewController.m中的trigger方法打上断点并添加condition， testCondition大于5时触发断点 
    breakpoint set -n trigger -o //单次断点 
    breakpoint command add -o "frame info" 3 //在设置的三号断点加入子命令frame info 
    breakpoint list // 列出所有断点 
    breakpoint delete 3 //删除3号断点

2. watchpoint

   有时候我们会关心类的某个属性什么时候被人修改了，最简单的方法当然就是在setter的方法打断点，或者在@property的属性生命行打上断点。这样当对象的setter方法被调用时，就会触发这个断点。

   
   当然这么做是有缺点的，对于直接访问内存地址的修改，setter方法的断点并没有办法监控得到，因此我们需要用到watchpoint命令。
   watchpoint命令在XCode的GUI中也可以直接使用，当程序暂停时，我们能对当前程序栈中的变量设置watchpoint。值得注意的是，watchpoint是直接设置到该变量所在的内存地址上的，所以当这个变量释放了后，watchpoint仍然是对这个地址的内存生效的。

   
   我们也可以在LLDB中直接用watchpoint命令，可以通过选项实现更多效果。

    watchpoint set self->testVar     //为该变量地址设置watchpoint
    watchpoint set expression 0x00007fb27b4969e0 //为该内存地址设置watchpoint，内存地址可从前文提及的`p`命令获取
    watchpoint command add -o 'frame info' 1  //为watchpoint 1号加上子命令 `frame info`
    watchpoint list //列出所有watchpoint
    watchpoint delete // 删除所有watchpoint

堆栈

1. thread 和 bt

   bt即是thread backtrace，作用是打印出当前线程的堆栈信息。当程序发生了crash后，我们可以用该命令打印出发生crash的当前的程序堆栈，查询出发生crash的调用路径。由于比较常用，所以LLDB直接给它一个特殊的bt别名。
   thread另一个比较常用的用法是 thread return，调试的时候，我们希望在当前执行的程序堆栈直接返回一个自己想要的值，可以执行该命令直接返回。

    thread return <expr>

   在这个断点中，我们可以执行 thread return NO让该函数调用直接返回NO ，在调试中轻松覆盖任何函数的返回路径。

2. frame

   frame即是帧，其实就是当前的程序堆栈，我们输入bt命令，打印出来的其实是当前线程的frame。
   在调试中，一般我们比较关心当前堆栈的变量值，我们可以使用frame variable来获取全部变量值。当然也可以输入特定变量名，来获取单独的变量值，如frame v self-> testVar来获取testVar的值。

文／王小明if（简书作者）
原文链接：http://www.jianshu.com/p/d6a0a5e39b0e
著作权归作者所有，转载请联系作者获得授权，并标注“简书作者”。

8、使用USB调试的方法

通过wifi调试很慢，有时候"process connect"命令甚至会失败。如果你也遇到这样的情况，你可以通过USB而不是Wifi进行调试。

在Mac上下载usbmuxd解压，并运行：

wget http://cgit.sukimashita.com/usbmuxd.git/snapshot/usbmuxd-1.0.8.tar.bz2
tar xjfv usbmuxd-1.0.8.tar.bz2
cd usbmuxd-1.0.8/python-client/
python tcprelay.py -t 12345:12345

这样所有试图链接到localhost:12345的连接都会通过USB被重定向到你的iOS设备的12345端口，将上面第5步中的process connect命令更改如下：

process connect connect://localhost:12345

然后就可以像在Xcode中一样用lldb调试了。

实测lldb现象
iPhone4的debugserver_armv7,采用lldb调试成功且可以正常显示thumb指令.
iPhone5的debugserver_armv7与debugserver_armv7s,采用lldb调试成功,但不可以正常显示thumb指令,会解释成arm指令.

九、lldb不同版本显示thumb指令的问题

有时候会发现，使用IDA反汇编显示的代码和lldb调试时候显示的汇编代码完全不一样，这是由于在后期版本中，苹果的lldb默认使用的是arm反汇编显示。这时候我们在显示我们想要的反汇编代码的时候必须要设置反汇编的格式(arm/thumb)，这个真是无比蛋疼。

如图IDA上显示的代码：

如图lldb通过设置反汇编显示arm或者thumb的对比：

从以上可以明显看出,lldb默认显示arm指令都是以4字节为一条指令解释

设置了-A thumb 后, 则以2字节为一条指令解释(这应该就是想要的与IDA匹配的代码)

之前使用6.4版本xcode，就发现了这个显示的问题，好在后来升级为Xcode7了，新的lldb果断给力了很多。

总结:

1. Xcode 5.0 版本的 lldb 正常使用没什么问题,版本是 lldb-300.2.47
   注：实测Xcode5.0.2版本的lldb，lldb版本是lldb-300.2.53，iPhone5是可以正常显示thumb指令。
2. Xcode 6.1 版本的lldb 会解析成 arm 一跑就崩溃
3. Xcode 6.4 版本的lldb 会解析成arm 跑调试没问题，只是汇编现实有问题
4. Xcode 7.0 版本的lldb iPhone5s上测试，可以正常显示thumb指令，版本为：lldb-340.4.110

参考链接：

1. debugserver
2. 一步一步用debugserver + lldb代替gdb进行动态调试(整理与补充)
3. 【原创】lldb +debugserver调试环境部署(一)
4. 关于后期lldb反汇编显示问题的解决办法
5. iOS/OSX 调试：跳舞吧！与LLDB共舞华尔兹