LLDB是Low Level Debugger的簡稱，在iOS開發(fā)的調試中LLDB是經常使用的，LLDB是Xcode內置的動態(tài)調試工具。使用LLDB可以動態(tài)的調試你的應用程序，如果你不做其他的額外處理，因為debugserver缺少task_for_pid權限，所以你只能使用LLDB來調試你自己的App。那么本篇博客中就要使用LLDB來調試從AppStore下載安裝的App，并且結合著Hopper來分析第三方App內部的結構。LLDB與Hopper的結合，會讓你看到不一樣的東西，本篇博客就會和你一起領略LLDB與Hopper的魅力。

一、SSH的USB連接--usbmuxd
之前我們ssh連接iOS設備是通過局域網也就是WiFi來連接的，當網絡環(huán)境不好的時候輸入個命令行都卡，所以我們需要一種更快的訪問iOS設備的方式，那就是使用USB連接了。本篇博客中無論是SSH連接iOS設備還是LLDB連接iOS設備，我們都使用USB的方式進行設備的訪問，這樣速度就快的不行不行的了。本篇博客的第一部分就是介紹如何使用USB進行設備的SSH連接，這部分也是本篇博客的基礎，不過內容還算是簡單。
1、獲取usbmuxd
usbmuxd雖然目前最新的版本是1.1.0，但是1.1.0版本和1.0.9版本僅支持Linux系統(tǒng)，也就是說我們的Mac還是得下載v1.0.8的版本，下載地址（usbmuxd-v1.0.8）。下載完后，將下載的文件進行解壓，內容如下所示：
　　

2.使用usbmuxd連接iOS越獄設備
(1) 使用usbmuxd轉發(fā)接口
切換到上述文件夾下的python-client目錄下，執(zhí)行下方的命令，將iOS上的22端口轉發(fā)到當前設備的2221端口，如下所示。
./tcprelay.py -t 22:2221

下方是執(zhí)行上述命令的結果：

(2) 使用ssh連接到越獄設備
ssh root@localhost -p 2222

上述命令就是ssh連接的命令 -p后邊緊跟的是上述轉發(fā)的端口，執(zhí)行上述命令后，結果如下：

二、配置debugserver
在做iOS開發(fā)時，在Mac上輸入LLDB的命令就可以控制iOS端的App，是因為在我們iOS客戶端中有一個debugserver服務器。debugserver專門用來連接Mac端的LLDB客戶端，接收LLDB所提供的命令，并且進行相應的執(zhí)行。如果你的iOS設備進行過真機調試的話，設備中就會被安裝上debugserver, 不過該debugserver只能用來調試你自己的相關應用。如果想要調試從AppStore中獲取的App的話，那么我們需要對iOS設備上的debugserver進行處理。該部分就是要處理我們的debugserver。
1.獲取debugserver
首先我們得找到iOS設備中debugserver，并將其拷貝到Mac上進行處理，下方就是位于/Developer/usr/bin目錄下的debugserver。此debugserver只支持調試我們自己的App, 如果需要調試其他人的App的話，需要對此debugserver進行處理，處理過程見下文。

2.對debugserver進行瘦身
lipo -thin arm64 debugserver -output debugserver

進入到到Mac中debugserver所在的目錄下執(zhí)行上述命令即可，-thin后方填寫你的測試機相應的ARM架構即可，因為我的測試機是iPhone 6 Plus, 是arm64的架構，所以此處填的參數(shù)是arm64, 如果你的是iPhone5的設備，那么就是armv7s了。

3.給debugserver添加task_for_pid權限
給debugserver添加task_for_pid權限后，我們就可以使用LLDB調試其他App了。此部分我們需要一個存儲配置信息的xml文件，該文件的內容如下。你可以將下下方的文本進行拷貝，然后存儲成ent.xml即可。

復制代碼

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>com.apple.springboard.debugapplications</key> <true/> <key>get-task-allow</key> <true/> <key>task_for_pid-allow</key> <true/> <key>run-unsigned-code</key> <true/></dict></plist>

復制代碼

在給debugserver符權限時，我們需要使用到ldid命令，如果你的Mac上沒有安裝ldid命令，那么請用brew進行install。執(zhí)行下方的命令行就可以給我們的debugserver賦上task_for_pid權限。需要注意的是-S與ent.xml文件名中是沒有空格的。
ldid -Sent.xml debugserver

下方截圖就是我們處理debugserver的步驟，如下所示：

4、將debugserver拷貝到iOS設備中
最后一步就是將處理好的debugserver拷貝到我們的越獄設備中，并且給debugserver賦上可執(zhí)行的權限。因為/Developer/usr/bin目錄下的debugserver是只讀的，所以你不能將處理好的debugserver拷貝到上述文件，你要將處理好的debugserver拷貝到/usr/bin/目錄下（當然此處我們借助IFunBox進行文件的拷貝）。
將debugserver拷貝到/usr/bin目錄下后，執(zhí)行下方的賦權限的命令，將可執(zhí)行的權限賦給debugserver，如下所示：
chmod +x debugserver

賦完權限后，你就可以使用debugserver命令來開啟debuserver了，如下所示：

三、debugserver的開啟與LLDB的連接
1.開啟debugserver
在越獄設備中，我們就可以通過下方命令行來開啟debugserver了，我們此處以調試微信App為例。下方的命令就是啟動debugserver來監(jiān)聽來自任何IP地址的接入，iOS設備的接入端口是12345，所要調試的App為“WeChat”。命令如下：
*debugserver :12345 -a "WeChat"

在我們iOS設備上執(zhí)行上述命令的效果如下所示，執(zhí)行完上述命令后，我們的iOS設備就會等待Mac終端LLDB的接入。

2.LLDB連接debugserver
LLDB連接debugserver可以使用WIFI進行連接，可是WIFI是不穩(wěn)定的，而且特別的慢，所以此處我們要使用usbmuxd進行LLDB和debugserver的連接。
（1）進行端口的轉發(fā)
和第一部分中的內容相同，我們使用usbmuxd進行端口的轉發(fā)，將上述的“12345”端口對接到Mac本地的某個端口，此處我們使用“12345”端口。進入到usbmuxd-1.0.8目錄下的python-client下執(zhí)行下方的命令。
./tcprelay.py -t 12345:12345

具體操作步驟如下所示：

（2）Mac端LLDB的接入
進行端口轉發(fā)后，接下來我們就開始進入lldb模式，然后進行debugserver的連接了。首先在terminal上輸入lldb命令，然后輸入下方的地址進行連接。因為我們使用usbmuxd進行了端口的轉發(fā)，因此可以使用本地的環(huán)回測試地址來進行debugserver的連接。
process connect connect://127.0.0.1:12345

下方是連接后的結果，LLDB與debugserver建立完成后，我們就可以使用lldb來調試微信這個應用了。

四、Hopper + LLDB
在上篇博客《iOS逆向工程之給WeChat脫殼》 我們已經給微信進行可脫殼處理，所以使用Hopper進行處理是沒有問題的。此部分我們就要將Hopper與LLDB結合在一起發(fā)揮其雙劍合璧的作用。該部分也算是本篇博客中實戰(zhàn)的一部分。
1.查看線程中的WeChat
LLDB連接上debugserver后，我們首先使用下方的命令來查看當前進程中的所有模塊。從這些輸出信息中我們能找到“WeChat”這個進程在虛擬內存相對于模塊基地址的偏移量。
image list -o -f

lldb連接debugserver后，執(zhí)行上述命令輸出的部分結果如下所示。下方截圖中，第一個就是“WeChat”程序的相關信息。左邊紅框就是ASLR偏移量（隨機偏移量），ASLR偏移量其實就是虛擬內存的其實地址，相對于模塊基地址的偏移量。右邊紅框中的地址就是偏移后的地址。
在介紹地址這塊的東西是先熟悉一下下方的兩個概念：
模塊在內存中的起始地址----模塊基地址
ASLR偏移 ---- 虛擬內存起始地址與模塊基地址的偏移量

從下方的輸出結果我們可以知道:ASLR偏移量 = 0x5b000, 模塊偏移后基地址 = 0x5f000

下方是使用Hopper打開的解密后的微信的安裝包，其起始地址從下圖中我們可以看出是0x4000, 這個地址就是模塊偏移前的地址，也就是模塊在虛擬內存中的起始地址。從Hopper中我們可以知道：模塊偏移前的基地址=0x4000

　　模塊偏移后的基地址（0x5f000）= ASLR偏移量（0x5b000）+ 模塊偏移前基地址（0x4000）
上面這個公式是尤為重要的，因為Hopper中顯示的都是“ 模塊偏移前基地址”，而LLDB要操作的都是“模塊偏移后的基地址”。所以從Hopper到LLDB，我們要做一個地址偏移量的轉換。這個在下方會多次用到。當然，有一點需要注意的是Hopper與LLDB所選擇的AMR架構的位數(shù)得一致，要么是32位，要么都是64位，如果位數(shù)不匹配的話，那么計算出來的內存地址肯定是不對的。

2、使用LLDB給微信登錄添加斷點
(1)、加斷點前的分析
“斷點”這個東西在iOS開發(fā)中可謂是經常使用的東西，接下來我們要做的就是給在微信點擊登錄進行頁面跳轉時添加一個斷點。就是點擊左邊截圖的登錄按鈕往右邊頁面跳轉時添加一個斷點。我們暫且將斷點添加在右邊頁面的初始化方法中。

要給上述右邊頁面添加斷點首先得知道上面“手機號登錄”視圖控制器的內存地址，然后才可以使用LLDB添加斷點。那么尋找上述視圖控制器的內存地址的任務就交給了我們的Hopper來做了。在Hopper中我們搜索“Login”，然后會篩選出好的帶有Login關鍵字的ViewController，然后我們在篩選的結果中再次尋找可疑目標對象。然后我們找到了一個名為“WCAccountPhoneLoginControlLogic”（我們可以翻譯一下英文，大概意思就是“微信手機賬號登錄控制邏輯”）的類，從這個類的名字中我們不難推斷出該類極有可能就是我們要尋找的“手機賬號登錄”頁面。

(2)、定位斷點地址
經過第一步找到添加斷點的類中的方法后，接下來我們要計算出該方法的內存地址，然后使用LLDB給該地址添加斷點。通過Hopper我們很容易定位到上述的“initWithData:”方法，的位置，如下所示。下方截圖中這個帶“星號”的地址就是“initWithData:”方法偏移前的基地址。根據(jù)上面的公式我們很容易就可以計算出該方法“偏移后的基地址”也就是真正的內存地址。算法如下所示：
initWithData內存地址 = 0x1304b60 + 0x5b000（ALSR偏移） = 0x135FB60

(3)、添加斷點
使用下述命令，給上述地址添加斷點。斷點添加后，點擊登錄按鈕就會跳轉到“手機號登錄”頁面就會執(zhí)行該斷點，下方截圖的紅框中就是“斷點”執(zhí)行后的效果。從下方截圖中我們可以看出該斷點的編號是1，Breakpoint后方就是斷點編號，該編號會在操作斷點是會用到，下方會給出實例。
br s -a 0x135FB60

(4)、斷點的單步執(zhí)行（ni, si）
你可以通過nexti (簡寫：ni)和stepi (簡寫：si)來進行單步的調試。ni遇到跳轉不會進入到跳轉中去，而si則會跳轉到相應的分支中去。下方就是通過si和ni進行單步調試的效果截圖。

(5) 放開執(zhí)行該斷點（c）
命令c可以執(zhí)行該斷點, 上面這種情況如果執(zhí)行c命令，因為只有一個斷點，該斷點執(zhí)行后，就會跳轉到“手機號登陸頁面”。

(6)斷點的禁用和開啟
上面也有提到，上述創(chuàng)建的斷點的編號是1，我們要對該斷點進行禁用和開啟操作，具體命令如下所示：
br dis 1 -- 禁用（disable）編號為1的斷點
br en 1 -- 啟用（enable）編號為1的斷點
br dis -- 禁用所有斷點
br en -- 啟用所有斷點

具體操作結果如下, 當斷點禁用后，點擊登錄按鈕就不會觸發(fā)該斷點了。當斷點重啟后，點擊登錄按鈕還是會觸發(fā)該斷點的。具體效果如下所示：

(7) 斷點的刪除
br del 1 -- 刪除（delete）編號為1的斷點
br del -- 刪除所有斷點

3.輸出寄存器的值(p, po)
在iOS開發(fā)中，我們在使用LLDB調試時，經常會用到po命令來輸出某個變量或者常量的值。在使用LLDB調試WeChat時，我們也可以使用某些命令來輸出寄存器中的值。我們使用來

訪

問

某

個

寄

存

器

中

的

值

，

并

且

使

用

p
命

令

進

行

打

印

。

下

方

就

是

通

過

p
命

令

將

r
1
寄

存

器

中

所

存

的

內

容

進

行

打

印

，

在

打

印

之

前

將

" role="presentation" style="margin: 0px; padding: 0px; display: inline; font-style: normal; font-weight: normal; line-height: normal; font-size: 14px; text-indent: 0px; text-align: left; text-transform: none; letter-spacing: normal; word-spacing: normal; word-wrap: normal; white-space: nowrap; float: none; direction: ltr; max-width: none; max-height: none; min-width: 0px; min-height: 0px; border: 0px; position: relative;">來訪問某個寄存器中的值，并且使用p命令進行打印。下方就是通過p命令將r1寄存器中所存的內容進行打印，在打印之前將
來

訪

問

某

個

寄

存

器

中

的

值

，

并

且

使

用

p
命

令

進

行

打

印

。

下

方

就

是

通

過

p
命

令

將

r
1
寄

存

器

中

所

存

的

內

容

進

行

打

印

，

在

打

印

之

前

將

r1進行類型轉換，po命令則輸出了Objective-C的對象，而p輸出的是C語言類型的數(shù)據(jù)。如下所示：
　　

4.修改寄存器中的值
我們不僅可以查看某些寄存器中的值，而且可修改寄存器中的中，通過下述命令我們就可以修改指的寄存器中的值。
register write 寄存器 值

接下來我們將要通過一個實例來實戰(zhàn)一下register write這個命令，通過在Hopper中對登錄模塊的分析，我們不難發(fā)現(xiàn)“WCAccountManualAuthControlLogic”這個類中的“handleAuthResponse:”方法就是用來處理“登錄認證響應”的方法。也就是說“handleAuthResponse:”負責處理登錄業(yè)務邏輯的網絡響應，并且在這個函數(shù)的前邊有一個比較（cmp r0, r1）, 根據(jù)r0和r1的比較結果來進行跳轉。
　　

" role="presentation" style="margin: 0px; padding: 0px; display: inline; font-style: normal; font-weight: normal; line-height: normal; font-size: 14px; text-indent: 0px; text-align: left; text-transform: none; letter-spacing: normal; word-spacing: normal; word-wrap: normal; white-space: nowrap; float: none; direction: ltr; max-width: none; max-height: none; min-width: 0px; min-height: 0px; border: 0px; position: relative;">r0=8,
r
0
=
8
,

r1 = 351**。然后我們將$r1中的值改成8，然后輸入c繼續(xù)執(zhí)行，發(fā)現(xiàn)之前正常流程的alter就不會彈出來了，而是重新進行了一次網絡請求。

上述示例都是在32位系統(tǒng)上做的，如果你使用的是arm64架構的設備，如iPhone6Plus,那么你的地址會比上述地址要長一倍。下方兩個截圖是使用iPhone 6 Plus越獄設備做實驗的截圖，可以和上述步驟進行一下對比，雖然有所不同，但是上述內容在調試下方內容時也是適用的。

本篇博客的內容就到這兒吧，至此，你應該能將LLDB與Hopper結合起來使用了吧。今天我們以“微信”為例子，并沒有別的意思，只是想在真正的實例中實現(xiàn)一下。使用微信做實驗的原因就是微信做的足夠安全，畢竟微信的團隊還是很強大的。因為用我的越獄設備做完上述實驗后，該越獄設備已經不能登錄微信賬號了，肯定是微信的后臺監(jiān)測到該“越獄設備”的異常行為了，從而做了一些安全措施。
“攻與防”就像“矛與盾”相輔相成。