文章目录
原理讲解
看上面的macho文件的结构,这个是用macho view查看没加载进内存里的文件结构
剪头第一行pagezero的file size 是0,这是没有加载进内存的大小.一旦加载进虚拟内存,这个大小就会改变
剪头第二行的_text是代码段.函数就在这里,代码段加载进虚拟内存大小不会改变.
剪头第三行_data是数据段.这个这篇文章不讨论
hopper可以静态分析macho文件,里面的函数地址是在代码段的偏移地址.而macho文件运行在内存中以后,macho文件的段落里的第一个段:PAGEZERO段会从size = 0 变大.,所以导致后面的段落后向后移动,因为代码段的大小在加载在虚拟内存后不会改变,所以虚拟内存中的函地址,可以通过pagezero段的大小,也就是代码段后面的便宜量+ hopper里函数的地址相加得到.
具体操作是:偏移量可以通过lldb的 image list -o -fc查出段落的偏移量,让段落的偏移量+hopper中的函数的代码段的偏移量 得到真实的内存中函数的偏移量
虚拟内存中函数地址 = 代码段便宜量 + hopper中函数地址
使用hopper找到你要下断点的macho-o文件里的函数地址的方法
例如,我通过theos tweek已经在BaseMsgContentViewController控制器里,把所有的方法都添加了打印信息.
的TextDidChanged方法下hook了打印的方法
下面这篇文章是关于如何使用theos给一个控制器的所有方法都用logify.pl脚本自动添加上所有打印信息
ios使用theos的 logify.pl自动hook .h头文件中所有的方法
例如其中BaseMsgContentViewController这个文件是发送信息时候的控制器,里面每次文字改变会调用下面的方法,里面也添加了打印信息,如下面代码
- (void)TextDidChanged:(id)arg1 selectedRange:(struct _NSRange)arg2 { %log; %orig; }
通过控制台打印,可以看到当手机微信输入789的时候,函数被打印了如下图:
打开Hopper Disassembler,把脱壳以后的app的mach-o文件拖拽进去.
脱壳请查看我写的这篇文章
ios脱壳工具frida使用教程和各种踩坑总结(app store可用脱壳)
拖拽进去脱壳后的macho-o文件以后如下
搜索,要查找的文件名 和 函数名,中间用空格分开,例如
BaseMsgContentViewController TextDidChanged
找到hopper搜搜到的函数地址
例如,上图,的函数地址:00000001034d0be8
这个地址是没加载到虚拟内存的地址.一旦加载到虚拟内存以后,地址会存在一个偏移量.
通过越狱手机连接上mac,并且进入lldb
具体操作参见这篇文章
ios 让debugserver可以调试任意app
usb连接上越狱手机后再手机端ssh输入:
debugserver localhost:20001 -a 进程名字
mac端输入:
lldb
process connect connect://localhost:20001
查看app所有段落和偏移量: -f是完整路径 -o是偏移量
image list -o -f
打印结果如下:
(lldb) image list -o -f
[ 0] 0x00000000025cc000 /private/var/containers/Bundle/Application/C9D99801-9F4C-41E4-824F-3213CAB26717/WeChat.app/WeChat(0x00000001025cc000)
[ 1] 0x0000000115c50000 /Users/tdw/Library/Developer/Xcode/iOS DeviceSupport/13.6.1 (17G80)/Symbols/usr/lib/dyld
[ 2] 0x0000000115d30000 /usr/lib/substitute-inserter.dylib(0x0000000115d30000)
[ 3] 0x00000001159cc000 /private/var/containers/Bundle/Application/C9D99801-9F4C-41E4-824F-3213CAB26717/WeChat.app/Frameworks/owl.framework/owl(0x00000001159cc000)
找到上面第0行 wechat.app这行,这行开头的地址0x00000000025cc000 是这个app的偏移量
设置函数虚拟内存里的断点就是这个偏移量+ hopper里的函数偏移量
通过下断点指令
br set -a 地址值
在lldb里通过计算后的内存地址设置断点
例如这个函数下的断点的地址就是如下,注意添加0x开头,因为) image list -o -f 和hopper里复制的地址都是16进制的.用+加号相加
(lldb) br set -a 0x00000000025cc000+0x00000001034d0be8
得到结果下断点成功
Breakpoint 1: where = WeChat`___lldb_unnamed_symbol242652$$WeChat, address = 0x0000000105a9cbe8
下面按下c,让app继续执行,相当于xcode的F9
c
之后我退出聊天页面再重新进入,再用键盘输入文字,发现lldb在断点停住了
原因显示是 :因为断点breakpoint 1.1
Process 441 resuming
Process 441 stopped
* thread #1, queue = 'com.apple.main-thread', stop reason = breakpoint 1.1
frame #0: 0x0000000105a9cbe8 WeChat`___lldb_unnamed_symbol242652$$WeChat
WeChat`___lldb_unnamed_symbol242652$$WeChat:
-> 0x105a9cbe8 <+0>: stp x26, x25, [sp, #-0x50]!
0x105a9cbec <+4>: stp x24, x23, [sp, #0x10]
0x105a9cbf0 <+8>: stp x22, x21, [sp, #0x20]
0x105a9cbf4 <+12>: stp x20, x19, [sp, #0x30]
Target 0: (WeChat) stopped.
代表你设置断点成功了,如下图
