开始逆向objc基础准备(二)我的平台是simulator-x86_64
建项目运行中断调试,lldb中显示寄存器看到有rax-r15, stm0-stm7, xmm0-xmm15, ymm0-ymm15,即为x64体系支持sse4。
再在lldb中查看寄存器别名得到以下对应:
| rax | |
| rbx | |
| rcx | arg4 |
| rdx | arg3 |
| rdi | arg1 |
| rsi | arg2 |
| rbp | fp |
| rsp | sp |
| r8 | arg5 |
| r9 | arg6 |
| r10 | |
| r11 | |
| r12 | |
| r13 | |
| r14 | |
| r15 | |
| rip | pc |
| rflags | flags |
| cs | |
| fs | |
| gs |
函数传参数的方式一清二楚,不是以前ia32时代传到街知巷闻的参数从右往左依次压栈的方式(系统调用和__fastcall以及汇编函数除外),函数传参数依次使用rdi,rsi,rdx,rcx,r8,r9。除此之外还用上xmm0-xmm7寄存器。
请看下面代码:
///////////////////////////////////////////////////////////////////// // // SaveRegisters // // Pushes a stack frame and saves all registers that might contain // parameter values. // // On entry: // stack = ret // // On exit: // %rsp is 16-byte aligned // ///////////////////////////////////////////////////////////////////// .macro SaveRegisters push %rbp .cfi_def_cfa_offset 16 .cfi_offset rbp, -16 mov %rsp, %rbp .cfi_def_cfa_register rbp sub $$0x80+8, %rsp // +8 for alignment movdqa %xmm0, -0x80(%rbp) push %rax // might be xmm parameter count movdqa %xmm1, -0x70(%rbp) push %a1 movdqa %xmm2, -0x60(%rbp) push %a2 movdqa %xmm3, -0x50(%rbp) push %a3 movdqa %xmm4, -0x40(%rbp) push %a4 movdqa %xmm5, -0x30(%rbp) push %a5 movdqa %xmm6, -0x20(%rbp) push %a6 movdqa %xmm7, -0x10(%rbp) .endmacro
除了上面提到的寄存器外,r12-r15和rbx的用途能用下面几处反汇编就明白了。
然后翻看调用栈下几个栈的反汇编:
14 - CFRunLoopRunSpecific
15 - -[UIApplication _run]
16 - UIApplicationMain
UIKit`UIApplicationMain: 0x10f0c1bf6 <+0>: pushq %rbp 0x10f0c1bf7 <+1>: movq %rsp, %rbp 0x10f0c1bfa <+4>: pushq %r15 0x10f0c1bfc <+6>: pushq %r14 0x10f0c1bfe <+8>: pushq %r13 0x10f0c1c00 <+10>: pushq %r12 0x10f0c1c02 <+12>: pushq %rbx 0x10f0c1c03 <+13>: pushq %rax 0x10f0c1c04 <+14>: movq %rcx, %rbx 0x10f0c1c07 <+17>: movq %rsi, %r15 0x10f0c1c0a <+20>: movl %edi, %r12d
UIKit`-[UIApplication _run]: 0x10f0bce26 <+0>: pushq %rbp 0x10f0bce27 <+1>: movq %rsp, %rbp 0x10f0bce2a <+4>: pushq %r15 0x10f0bce2c <+6>: pushq %r14 0x10f0bce2e <+8>: pushq %r12 0x10f0bce30 <+10>: pushq %rbx 0x10f0bce31 <+11>: movq %rdi, %rbx 0x10f0bce34 <+14>: callq 0x10fb23e34 ; symbol stub for: objc_autoreleasePoolPush 0x10f0bce39 <+19>: movq %rax, %r14 0x10f0bce3c <+22>: xorl %eax, %eax 0x10f0bce3e <+24>: callq 0x10f4c6d50 ; _UIAccessibilityInitialize 0x10f0bce43 <+29>: movq 0xc68766(%rip), %rsi ; "_registerForUserDefaultsChanges" 0x10f0bce4a <+36>: movq 0xce632f(%rip), %r15 ; (void *)0x000000010e344800: objc_msgSend 0x10f0bce51 <+43>: movq %rbx, %rdi
CoreFoundation`CFRunLoopRunSpecific: 0x10e7d7c40 <+0>: pushq %rbp 0x10e7d7c41 <+1>: movq %rsp, %rbp 0x10e7d7c44 <+4>: pushq %r15 0x10e7d7c46 <+6>: pushq %r14 0x10e7d7c48 <+8>: pushq %r13 0x10e7d7c4a <+10>: pushq %r12 0x10e7d7c4c <+12>: pushq %rbx 0x10e7d7c4d <+13>: subq $0xe8, %rsp 0x10e7d7c54 <+20>: movl %edx, -0xec(%rbp) 0x10e7d7c5a <+26>: movsd %xmm0, -0xe8(%rbp) 0x10e7d7c62 <+34>: movq %rsi, %r14 0x10e7d7c65 <+37>: movq %rdi, %r12 0x10e7d7c68 <+40>: movq 0x311459(%rip), %rax ; (void *)0x00000001114c0070: __stack_chk_guard 0x10e7d7c6f <+47>: movq (%rax), %rax 0x10e7d7c72 <+50>: movq %rax, -0x30(%rbp)
代码的共通点都是在函数开始运算之前将r12-r15以及rbx压入栈,r12-r15以及rbx主要用于函数局部变量或临变量。在UIApplicationMain函数中一开始入栈保存后,马上将输入参数传送到rbx,r15,r12进行运算。
已经约模弄清楚了一条路了,下面就开始反汇编逆向分析,但我的平台是simulator x64。
ps:后面还会介绍objc其它传参方式, 以及windows和linux(也就是vc与gcc)在x64平台的传参方式。
逆向深入objc,c++
windows下仿objc动画层UI引擎
