IDA反汇编/反编译静态分析iOS模拟器程序(五)F5反编译

反编译是IDA最让人振奋的功能,它的本质是IDA的一个插件,不过会被当做hex-rays的另一个产品。既然是产品,那当然就另外收费,demo版是没有的。反编译的快捷键是F5,菜单位置在 顶部菜单View->Open Subviews->Pseudocode。(有网友问到为什么按照第一篇的地址下载IDA后也没有F5,最终是发现他自己装了python,设了环境变量,这会令IDA工作不正常)

在显示反汇编的窗口中按F5,经过分析后,会多了一个标签栏Pseudocode-A:

继续上一节(可用两个浏览器窗口对比)的示例,以-[TestButton printLog]为例,可得到反编译代码:

__CFString *__cdecl _TestButton_Test__printLog_(void *a1)
{
  int v1; // ebx@1
  __CFString *result; // eax@3
  void *v3; // ecx@3

  v1 = OBJC_IVAR___TestButton_m_model;
  if ( DataModel__count(*(_DWORD *)((char *)a1 + OBJC_IVAR___TestButton_m_model)) )
  {
    if ( DataModel__count(*(_DWORD *)((char *)a1 + v1)) == 1 )
    {
      v3 = objc_msgSend(a1, (const __seg *)model[0]);// 改名前显示为v3 = objc_msgSend(a1, (const __seg *)off_57FC[0]);
      result = &cfstr_Fine;
      if ( !v3 )
        result = &cfstr_Error;
    }
    else
    {
      result = *(__CFString **)((char *)a1 + OBJC_IVAR___TestButton_m_printLog);
    }
  }
  else
  {
    result = &cfstr_Ok;
    if ( *(_DWORD *)((char *)a1 + OBJC_IVAR___TestButton_m_printLog) )
      result = *(__CFString **)((char *)a1 + OBJC_IVAR___TestButton_m_printLog);
  }
  return result;
}

改名的操作同样可在反编译代码中进行,只是界面稍有不同。在off_57FC处右键单击,选择Rename global item。无论在反汇编还是反编译改名,都会在另一方同步修改。

Objective-C和C++一样,每个类的函数实际都可用static的C函数表示,第一参数是self或this指针。所以反编译代码中,参数a1的类型显示为void*,实际也就是id,类的实例对象,即self指针。相比源码,反编译中有许多冗余代码,而且好多的类型转换和解引用,这是难免的,代码写法太多,总不能要求IDA这么智能。其实看多了也就习惯了,O(∩_∩)O

再看另一个函数:

源码中 @symthesize model 会得到 -[TestButton setModel:]函数,其反编译代码为:

int __cdecl _TestButton_setModel__(int a1, int a2, int a3)
{
  int result; // eax@1

  result = OBJC_IVAR___TestButton_m_model;
  *(_DWORD *)(a1 + OBJC_IVAR___TestButton_m_model) = a3;
  return result;
}

实际上这个函数返回值应该是void,但编译器是没有void返回值概念的,总会把一些东西返回,只是没用。a2是selector,实质为字符串的起始地址,IDA只能识别为int。a3是Objective-C语法的第一个参数,即被setModel的model,我们知道它是DataModel*,即传来的是一个地址,也被IDA当做int了,即32bit的数值。这个结果很容易看出来实际操作是 m_model = a3;

第3个例子:

- (bool)inWindow
{
    return self.window != nil;
}
bool __cdecl _TestButton_inWindow_(void *a1)
{
  return objc_msgSend(a1, (const __seg *)off_57C4[0]) != 0;
}

其中off_57C4改名后就是window。如此简单的源码才可能和反编译代码形同。另外也可看出,0可能会代表实际代码中的 NO,false,NULL,nil等。1则可能会代表YES,true。

当没有debugging symbol时,bool会被显示为char,因为bool是语法类型,不是编译器类型,占1个字节,和char相同。

以上便是反编译最简单的应用。

上一篇:IDA反汇编/反编译静态分析iOS模拟器程序(四)反汇编的符号信息与改名

下一篇:IDA反汇编/反编译静态分析iOS模拟器程序(六)交叉引用

本文请勿转载。

时间: 2024-07-28 22:52:28

IDA反汇编/反编译静态分析iOS模拟器程序(五)F5反编译的相关文章

IDA反汇编/反编译静态分析iOS模拟器程序(三)函数表示与搜索函数

打开IDA一般都是去搜索函数,可以说函数是IDA工程的基本单位吧,数据结构什么的都是为函数服务而已.函数列表在界面左侧的Functions Window: 可以看到,UIKit有27789个函数呢.在搜索前要先知道函数的表示方式. Objective-C函数的表示: 拿UIView来做例子吧.在xcode documentation中,UIView的函数会有这样的表示: + (void)beginAnimations:(NSString *)animationID context:(void *

IDA反汇编/反编译静态分析iOS模拟器程序(二)加载文件与保存数据库

启动windows版的IDA,在Quickstart界面点击New,弹出一个对话框选择文件.也可以按取消后再把文件拖进IDA.由于Mac版的IDA没注册,没有save功能,所以只好先把Mac上的东西拷贝到windows再打开了. 能拖进IDA的文件可以是静态库.动态库.可执行程序等.对ios而言,可执行程序通常是build出来的.app包里的同名文件,当然,也可以是系统自带的程序.库文件主要是SDK中各个framework,以UIKit为例,它的iOS6.1模拟器版静态链接库的路径为: /App

IDA反汇编/反编译静态分析iOS模拟器程序(八)IDA for Mac

iOS多用OC(Objective-C)编程,Mac也类似,所以IDA for Mac对OC的支持似乎强些.Windows的IDA在反汇编某些SDK库文件时会识别不出OC的函数名,而且对OC运行时的结构体也没识别出来.当然,因为我用的是6.1版的windows IDA, Mac上用的是6.4版,不知道是不是windows IDA 6.1的bug了. 总之在界面操作流程上,感觉Mac IDA是对OC有做优化的.当加载一个app时, 会询问是否解析和重命名OC的函数: 如果选择No,所有OC函数都会

IDA反汇编/反编译静态分析iOS模拟器程序(一)话说IDA

上个月写了一系列文章<xcode反汇编调试iOS模拟器程序>,是使用xcode来动态反汇编分析iOS模拟器程序的.这个系列则是静态分析,用到IDA来做反汇编/反编译.一些概念不会在此重复,遇到时可回读xcode反汇编系列. 之前有提到一些IDA的常识和下载地址,可看 <IDA Pro权威指南>读书笔记,同时这本书也是更深入挖掘IDA的参考书,只不过书里不会提到Objective-C.本系列使用的是Windows IDA 6.1和Mac IDA 6.4. 详细的关于IDA的介绍还是由

IDA反汇编/反编译静态分析iOS模拟器程序(七)识别类的信息

C++类的实质是个结构体.先举个例: class TestClass { int m_val1; int m_val2; public: int getVal1(); int getVal2(); }; int TestClass::getVal1() { return m_val1; } int TestClass::getVal2() { return m_val2; } 反编译两个函数,得到的是 int __cdecl TestClass__getVal1(int a1) { return

IDA反汇编/反编译静态分析iOS模拟器程序(九)block

在第三节 函数表示与搜索函数 提到block函数和普通的OC函数不同. 反汇编分析前需要理解block的实现原理,故推荐先看看这几篇文章及其所引用的参考资料: Block介绍(一)基础Block介绍(二)内存管理与其他特性block介绍(三)揭开神秘面纱(上)block介绍(四)揭开神秘面纱(下) block函数的命名与上文提到类似.函数内部定义的block会以scope命名,如: @implementation ViewController - (void)later { [self pres

xcode反汇编调试iOS模拟器程序(八)反汇编自己的代码来掌握规则

掌握了基本技巧后,基本上已不难理解所有的反汇编结果.授之以鱼不如授之以渔: 通过观察自己写的代码的反汇编来掌握各种代码的反汇编结果,从而逆向推测系统代码的源码. 调试自己写的代码时,可以不断切换查看源码和反汇编来定位代码执行到何处 这里分别用两个很简单的C++和Objective-C类来做示例: class TestC { int m_var; public: int getVar(); void setVar(int var); }; @interface TestOC : NSObject

xcode反汇编调试iOS模拟器程序(三)查看Objective-C函数与参数

在Objective-C函数的入口处(第一行)加断点,可用esp指针来探查参数. 以esp为基址,往后的偏移分别是: 0:函数执行完毕后的返回地址(不是返回值的地址哦) 4:对象实例的指针,即self指针 8:selector,实际是一个char数组型的字符串,即char* 12:(如果有)第一个参数 -(前一个参数的基址+前一个参数所占的字节数):(如果有)第n个参数 由此,要调试这样一个函数 - (void)para1:(id)p1 para2:(CGRect)p2 para3:(CGPoi

xcode反汇编调试iOS模拟器程序(一)查看反汇编

iOS模拟器程序的实质就是Mac OS X程序,只不过它需要以模拟器为载体来运行显示.故它的反汇编代码指令都是x86 CPU的,不是真机上的arm指令. 研究模拟器程序的反汇编有两个目的,或叫做好处: 一是为了研究深入到iOS系统的类库,你可以较容易地发现私有API,以及看到系统的实现. 二是,很直接地,模拟器调试比真机快.而且,相信大多数人更懂x86指令,各类高校教材的汇编教程都不是arm指令的吧. 首先问题是如何看到反汇编代码: 操作:Xcode顶部菜单->Product->Debug W