函數(shù)補(bǔ)充

• 函數(shù)的參數(shù)和返回值
  ARM64下,函數(shù)的參數(shù)是存放在X0到X7(W0到W7)這8個(gè)寄存器里面的.如果超過(guò)8個(gè)參數(shù),就會(huì)入棧.函數(shù)的返回值是放在X0 寄存器里面的.
• 函數(shù)的局部變量
  函數(shù)的局部變量放在棧里面!

還原高級(jí)代碼

在這之前一直都在看匯編代碼，那么接下來(lái)我們通過(guò)匯編代碼，一步一步還原高級(jí)代碼。
我們先隨便寫個(gè)demo,選擇真機(jī)，command + b拿到demo.app文件。接下里右鍵顯示包內(nèi)容
拿到可執(zhí)行文件

image.png

接下來(lái)講可執(zhí)行文件通過(guò)ida打開，得到如下結(jié)果
(注：沒(méi)安裝ida的童鞋自己百度，也可以看我第一篇筆記《逆向?qū)W習(xí)筆記1 —— 工具安裝》

image.png

__text:00000001000068E4 _main
__text:00000001000068E4
__text:00000001000068E4 var_14          = -0x14
__text:00000001000068E4 var_10          = -0x10
__text:00000001000068E4 var_4           = -4
__text:00000001000068E4 var_s0          =  0
__text:00000001000068E4                 SUB             SP, SP, #0x30
__text:00000001000068E8                 STP             X29, X30, [SP,#0x20+var_s0]
__text:00000001000068EC                 ADD             X29, SP, #0x20
//寄存器w8=2，是用w寄存器存儲(chǔ)的，說(shuō)明是int/short
__text:00000001000068F0                 MOV             W8, #2
//寄存器w9=3，是用w寄存器存儲(chǔ)的，說(shuō)明是int/short
__text:00000001000068F4                 MOV             W9, #3
__text:00000001000068F8                 STUR            W0, [X29,#var_4]
__text:00000001000068FC                 STR             X1, [SP,#0x20+var_10]
//寄存器x0=x8=2
__text:0000000100006900                 MOV             X0, X8
//寄存器x1=x9=3
__text:0000000100006904                 MOV             X1, X9
//調(diào)用func函數(shù)的部分，根據(jù)函數(shù)傳值的特征這里可大概估計(jì)出func函數(shù)有兩個(gè)參數(shù)x0,x1
__text:0000000100006908                 BL              _func
__text:000000010000690C                 MOV             W8, #0
__text:0000000100006910                 STR             W0, [SP,#0x20+var_14]
__text:0000000100006914                 MOV             X0, X8
__text:0000000100006918                 LDP             X29, X30, [SP,#0x20+var_s0]
__text:000000010000691C                 ADD  


int pi = 0;
int func(int a, int b){
//_text:000000010000688C                 EXPORT _func
//__text:000000010000688C _func                                   ; CODE XREF: _main+24↓p
//__text:000000010000688C
//__text:000000010000688C var_20          = -0x20
//__text:000000010000688C var_C           = -0xC
//__text:000000010000688C var_8           = -8
//__text:000000010000688C var_4           = -4
//__text:000000010000688C var_s0          =  0
    //以上部分是ida將棧偏移的部分保存在變量中
    
//__text:000000010000688C
//__text:000000010000688C                 SUB             SP, SP, #0x30
//__text:0000000100006890                 STP             X29, X30, [SP,#0x20+var_s0]
//__text:0000000100006894                 ADD             X29, SP, #0x20
    //上面三句是棧操作不用去管
    
    
    //下面兩句是取得一個(gè)全局變量pi,具體地址目前還不清楚,根據(jù)下面打印 %d可以判斷出pi為int
//__text:0000000100006898                 ADRP            X8, #_pi@PAGE
//__text:000000010000689C                 ADD             X8, X8, #_pi@PAGEOFF
    int * x8 = π
    
    //下面兩句直接是stur操作，可以判斷出，下面兩句是用來(lái)存函數(shù)的形參， 這里也就確定了func函數(shù)有兩個(gè)參數(shù)，參數(shù)是暫且用int類型代替了
//__text:00000001000068A0                 STUR            W0, [X29,#var_4]
    int var_4 = a;
//__text:00000001000068A4                 STUR            W1, [X29,#var_8]
    int var_8 = b;
    
    //這里w0加載x8中的值
//__text:00000001000068A8                 LDR             W0, [X8]
    int w0 = *x8;
//__text:00000001000068AC                 MOV             X8, X0
    //int x8 = pi;
    x8 = pi;
    
    //
//__text:00000001000068B0                 MOV             X9, SP
//__text:00000001000068B4                 STR             X8, [X9,#0x20+var_20]
//    x8=x9;
    
//__text:00000001000068B8                 ADRP            X0, #aD@PAGE ; "%d"
//__text:00000001000068BC                 ADD             X0, X0, #aD@PAGEOFF ; "%d"
//__text:00000001000068C0                 BL              _printf
    printf("%d",w0);
    
//__text:00000001000068C4                 LDUR            W1, [X29,#var_4]
    int w1 = var_4;
//__text:00000001000068C8                 LDUR            W10, [X29,#var_8]
    int w10 = var_8;
//__text:00000001000068CC                 ADD             W10, W1, W10
    w10 = w1 + w10;
    //存儲(chǔ)w0所對(duì)應(yīng)的值
//__text:00000001000068D0                 STUR            W0, [X29,#var_C]
//__text:00000001000068D4                 MOV             X0, X10
    w0 = w10;
    
    //根據(jù)函數(shù)的特征，返回值放在w0/x0中，所以此處一定有返回值,根據(jù)x10的結(jié)果，可以得知是個(gè)int 類型
    return w0;
    
    
    //以下是棧平衡
//__text:00000001000068D8                 LDP             X29, X30, [SP,#0x20+var_s0]
//__text:00000001000068DC                 ADD             SP, SP, #0x30
//    返回
//__text:00000001000068E0                 RET
}

刪掉多余的部分得到的結(jié)果如下：

int pi = 0;

int func(int a, int b){
    int * x8 = π
    int var_4 = a;
    int var_8 = b;
    int w0 = *x8;
    x8 = pi;
    printf("%d",w0);
    int w1 = var_4;
    int w10 = var_8;
    w10 = w1 + w10;
    w0 = w10;
    return w0;
}

從下向上替換，最終得到的結(jié)果如下：

//這個(gè)全局變量的值，沒(méi)辦法確定，需要?jiǎng)討B(tài)調(diào)試，本節(jié)重點(diǎn)在于做個(gè)匯編還原高級(jí)代碼的聯(lián)系，動(dòng)態(tài)調(diào)試的內(nèi)容放在后面的部分再講
int pi = 0;
int func(int a, int b){
    printf("%d",pi);
    return a + b;
}

這樣一個(gè)簡(jiǎn)單的匯編還原練習(xí)就這樣完成了，怎么樣？趕快為自己點(diǎn)個(gè)贊吧??????