Hopper+LLDB调试第三方APP


一、SSH的USB连接–usbmuxd

1、获取usbmuxd
usbmuxd虽然目前最新的版本是1.1.0,但是1.1.0版本和1.0.9版本仅支持Linux系统,也就是说我们的Mac还是得下载v1.0.8的版本,下载地址(https://cgit.sukimashita.com/usbmuxd.git/snapshot/usbmuxd-1.0.8.tar.gz)。下载完后,将下载的文件进行解压,内容如下所示:

lldb ios lldb ios 越狱_偏移量

2.使用usbmuxd连接iOS越狱设备

(1) 使用usbmuxd转发接口

切换到上述文件夹下的python-client目录下,执行下方的命令,将iOS上的22端口转发到当前设备的2221端口,如下所示。

./tcprelay.py -t 22:2221

如没有权限,则:
a. 终端下先 cd到该文件的目录下
b.执行命令 chmod a+x ./文件名

(2) 使用ssh连接到越狱设备

ssh root@localhost -p 2221

上述命令就是ssh连接的命令 -p后边紧跟的是上述转发的端口,执行上述命令. 

二、配置debugserver

参考:https://www.jianshu.com/p/7a8b3a21a17e

三、debugserver的开启与LLDB的连接

1.开启debugserver

在越狱设备中,我们就可以通过下方命令行来开启debugserver了,我们此处以调试微信App为例。下方的命令就是启动debugserver来监听来自任何IP地址的接入,iOS设备的接入端口是12345,所要调试的App为“WeChat”。命令如下:

debugserver :12345 -a “WeChat”*

在我们iOS设备上执行上述命令的效果如下所示,执行完上述命令后,我们的iOS设备就会等待Mac终端LLDB的接入。

2.LLDB连接debugserver

LLDB连接debugserver可以使用WIFI进行连接,可是WIFI是不稳定的,而且特别的慢,所以此处我们要使用usbmuxd进行LLDB和debugserver的连接。

(1)进行端口的转发

和第一部分中的内容相同,我们使用usbmuxd进行端口的转发,将上述的“12345”端口对接到Mac本地的某个端口,此处我们使用“12345”端口。进入到usbmuxd-1.0.8目录下的python-client下执行下方的命令。

./tcprelay.py -t 12345:12345

(2)Mac端LLDB的接入

进行端口转发后,接下来我们就开始进入lldb模式,然后进行debugserver的连接了。首先在terminal上输入lldb命令,然后输入下方的地址进行连接。因为我们使用usbmuxd进行了端口的转发,因此可以使用本地的环回测试地址来进行debugserver的连接。

process connect connect://127.0.0.1:12345

下方是连接后的结果,LLDB与debugserver建立完成后,我们就可以使用lldb来调试微信这个应用了。

四、Hopper + LLDB

1.查看线程中的WeChat

LLDB连接上debugserver后,我们首先使用下方的命令来查看当前进程中的所有模块。从这些输出信息中我们能找到“WeChat”这个进程在虚拟内存相对于模块基地址的偏移量。

image list -o -f

lldb连接debugserver后,执行上述命令输出的部分结果如下所示。下方截图中,第一个就是“WeChat”程序的相关信息。左边红框就是ASLR偏移量(随机偏移量),ASLR偏移量其实就是虚拟内存的地址相对于模块基地址的偏移量。右边红框中的地址就是偏移后的地址。

在介绍地址这块的东西是先熟悉一下下方的两个概念:

模块在内存中的起始地址—-模块基地址
ASLR偏移 —- 虚拟内存起始地址与模块基地址的偏移量

从下方的输出结果我们可以知道:ASLR偏移量 = 0x5b000, 模块偏移后基地址 = 0x5f000

2、使用LLDB给微信登录添加断点

(1)、加断点前的分析

“断点”这个东西在iOS开发中可谓是经常使用的东西,接下来我们要做的就是给在微信点击登录进行页面跳转时添加一个断点。就是点击左边截图的登录按钮往右边页面跳转时添加一个断点。我们暂且将断点添加在右边页面的初始化方法中。

(2)、定位断点地址

经过第一步找到添加断点的类中的方法后,接下来我们要计算出该方法的内存地址,然后使用LLDB给该地址添加断点。通过Hopper我们很容易定位到上述的“initWithData:”方法,的位置,如下所示。下方截图中这个带“星号”的地址就是“initWithData:”方法偏移前的基地址。根据上面的公式我们很容易就可以计算出该方法“偏移后的基地址”也就是真正的内存地址。算法如下所示:

initWithData内存地址 = 0x1304b60 + 0x5b000(ALSR偏移) = 0x135FB60

(3)、添加断点

使用下述命令,给上述地址添加断点。断点添加后,点击登录按钮就会跳转到“手机号登录”页面就会执行该断点,下方截图的红框中就是“断点”执行后的效果。从下方截图中我们可以看出该断点的编号是1,Breakpoint后方就是断点编号,该编号会在操作断点是会用到,下方会给出实例。

br s -a 0x135FB60

(4)、断点的单步执行(ni, si)

你可以通过nexti (简写:ni)和stepi (简写:si)来进行单步的调试。ni遇到跳转不会进入到跳转中去,而si则会跳转到相应的分支中去。

(5) 放开执行该断点(c)

命令c可以执行该断点, 上面这种情况如果执行c命令,因为只有一个断点,该断点执行后,就会跳转到“手机号登陆页面”。

(6)断点的禁用和开启

上面也有提到,上述创建的断点的编号是1,我们要对该断点进行禁用和开启操作,具体命令如下所示:

br dis 1 – 禁用(disable)编号为1的断点
br en 1 – 启用(enable)编号为1的断点
br dis – 禁用所有断点
br en – 启用所有断点
具体操作结果如下, 当断点禁用后,点击登录按钮就不会触发该断点了。当断点重启后,点击登录按钮还是会触发该断点的。具体效果如下所示:

(7) 断点的删除

br del 1 – 删除(delete)编号为1的断点
br del – 删除所有断点

3.输出寄存器的值(p, po)

在iOS开发中,我们在使用LLDB调试时,经常会用到po命令来输出某个变量或者常量的值。在使用LLDB调试WeChat时,我们也可以使用某些命令来输出寄存器中的值。我们使用来访问某个寄存器中的值,并且使用p命令进行打印。po命令则输出了Objective-C的对象,而p输出的是C语言类型的数据。