寄存器

汇编指令栈栗子

逆向工程绕不过的一部分就是汇编指令的分析。我们iPhone里面用到的是ARM汇编,但是不同的设备也有差异,因CPU的架构不同。

架构

设备

armv6

iPhone, iPhone2, iPhone3G, 第一代、第二代 iPod Touch

armv7

iPhone3GS, iPhone4, iPhone4S,iPad, iPad2, iPad3(The New iPad), iPad mini, iPod Touch 3G, iPod Touch4

armv7s

iPhone5, iPhone5C, iPad4(iPad with Retina Display)

arm64

iPhone5S 及以后版本

从iPhone5s之后的苹果手机都是ARM64位操作系统了,所以我们直接从ARM64汇编指令开始。

寄存器

我们都知道CPU的典型构成中有寄存器、控制器和运算器等组成,部件之间通过总线连接。运算器负责信息处理,控制器负责控制其他期间进行工作,寄存器用于信息存储。对我们程序员来说寄存器是最主要部件,可以通过改变寄存器的内容来实现对CPU的控制。

不同的CPU,寄存器的个数和结构不相同。像8086CPU有14个寄存器。ARM64 有34个寄存器,包括31个通用寄存器、SP、PC、CPSR。

寄存器

位数

描述

X0-X30

64bit

通用寄存器,如果有需要可以当做32bit使用:WO-W30

FP(x29)

64bit

保存栈帧地址(栈底指针)

LR (X30)

64bit

通常称X30为程序链接寄存器,保存跳转返回信息地址

SP

64bit

保存栈指针

PC

64bit

程序计数器,俗称PC指针,总是指向即将要执行的下一条指令

X0-X7: 用于子程序调用时的参数传递,X0还用于返回值传递

X8: 间接寻址结果

LR: 保存子程序结束后需要执行的下一条指令

Xcode在真机中运行项目,然后在viewWillAppear添加断点,lldb中查看各寄存器状态register read

arm C86 架构_arm C86 架构

arm C86 架构_arm C86 架构_02

汇编指令

下面介绍ARM64经常用到的汇编指令

MOV X1,X0 ; 将寄存器X0的值传送到寄存器X1

ADD X0,X1,X2 ; 寄存器X1和X2的值相加后传送到X0

SUB X0,X1,X2 ; 寄存器X1和X2的值相减后传送到X0

AND X0,X0,#0xF ; X0的值与0xF相位与后的值传送到X0

ORR X0,X0,#9 ; X0的值与9相或后的值传送到X0

EOR X0,X0,#0xF ; X0的值与0xF相异或后的值传送到X0

LDR X5,[X6,#0x08] ;X6寄存器加0x08的和的地址值内的数据传送到X5

STR X0, [SP, #0x8] ;X0寄存器的数据传送到SP+0x8地址值指向的存储空间

STP x29, x30, [sp, #0x10] ; 入栈指令

LDP x29, x30, [sp, #0x10] ; 出栈指令

CBZ ; 比较(Compare),如果结果为零(Zero)就转移(只能跳到后面的指令)

CBNZ ; 比较,如果结果非零(Non Zero)就转移(只能跳到后面的指令)

CMP ; 比较指令,相当于SUBS,影响程序状态寄存器

CPSR B/BL ; 绝对跳转#imm, 返回地址保存到LR(X30)

RET ; 子程序返回指令,返回地址默认保存在LR(X30)

 



AND R0, R1, R2 ; R0 = R1 & R2



ORR R0, R1, R2 ; R0 = R1 | R2



EOR R0, R1, R2 ; R0 = R1 ^ R2



BIC R0, R1, R2 ; R0 = R1 &~ R2



MOV R0, R2 ; R0 = R2



 

NZCV是状态寄存器中存的几个状态值,分别代表运算过程中产生的状态,其中:

  • N, negative condition flag,一般代表运算结果是负数
  • Z, zero condition flag, 运算结果为0
  • C, carry condition flag, 无符号运算有溢出时,C=1。
  • V, oVerflow condition flag 有符号运算有溢出时,V=1。

栈就是指令执行时存放临时变量的内存空间,具有特殊的访问方式:后进先出, Last In Out Firt。

  • 栈是从高地址到低地址存储数据的,栈底是高地址,栈顶是高地址。
  • FP指向栈底
  • SP指向栈顶

栗子

下面我们写一个简单求和的子函数调用,看看编译成ARM64汇编指令是什么样子的。

  • testarm.m的内容如下:
#include<stdio.h>
      int mySum(inta , intb) 
  {
     intc=a+b;
     returnc; 
  } 
  int main (intargc, char*argv[])
   {
     int outA = 10;
     int outB = 20;
     int result = mySum(10, 20);
     printf("%d",result);
    return0; 
  }
  • 用clang编译成arm64汇编代码
    编译命令如下:
    clang -O0-archarm64 -isysroot`xcrun --sdk iphoneos --show-sdk-path`-otestarm01 testarm.m
    testarm01: 输出文件名
    testarm.m: 需要编译的文件
    arm64:输出汇编类型
  • 分析汇编
    使用IDA或者Hopper查看汇编代码,下面我粘贴处主要汇编代码分析。
  • mySum对应的汇编:

从SUB SP, SP, #0x10开始分析

SUB SP, SP, #0x10 ; 分配栈控件16个字节; 下面是先存储参数,然后取出来用 

  • STR W0, [SP,#0x10+var_4] ; 把W0入栈,即a
  • STR W1, [SP,#0x10+var_8] ; 把W1入栈,即b
  • LDR W0, [SP,#0x10+var_4] ;出栈a,存储到W0
  • LDR W1, [SP,#0x10+var_8] ;出栈b,存储到W1;
  • 主代码到了,求和ADD W0, W0, W1 ;求和,并把和存储到W0,相当于int c = a + b;;
  • 返回值处理 STR W0, [SP,#0x10+var_C] ;把和W0入栈
  • LDR W0, [SP,#0x10+var_C] ; 把和W0出栈,现在W0存储的就是结果了。
  • ADD SP, SP, #0x10 ;平栈,采用平栈方式是add
  • RET ;子程序结束
  • 下面是main函数的汇编代码:
    想必通过上边sum函数的讲解,大家也能基本能看懂main函数的汇编

主要代码解释

MOV X0, X8 ;实参outA: #0xA = 10

  • MOV X1, X9 ;实参outB: #0x14 = 20
  • BL _mySum ;调用mySum子函数