捣鼓了一段时间的iOS逆向相关的东西，在动态分析过程中会阅读汇编代码，分析代码的执行流程，在此记录下阅读汇编代码过程中经常遇到的一些指令。

当然如果不玩逆向也有必要学习汇编，在定位某些crash问题的时候会很有帮助，比如有时候程序挂在系统库里面，如果能读懂汇编代码，再利用一些调试技巧，可会达到意想不到的效果。

除此之外，学习汇编有利于帮助自己更深层次的理解程序，理解计算机。

说明：下面所描述的都是在arm64架构的汇编指令，在arm32或者x86架构会有所区别。

---

寄存器

在arm64架构下，所有的寄存器都是64位，并且每个寄存器都有名字的，按照功能来划分，可分为一下几类，分别为：

1. 通用寄存器
2. 程序计数器
3. 堆栈指针
4. 链接寄存器
5. 程序状态寄存器
6. 零寄存器

下面分别说明这些寄存器的作用

通用寄存器

64bit : x0 ~ x28 ，每个寄存器都是64bit
32bit：w0 ~ w28，实际上是x0~x28寄存器的低32bit
x0~x7：通过用来存储函数的参数，如果函数有更多的参数使用堆栈来传递
x0：通常用来存放函数的返回值

register.png

程序计数器

程序计数器叫Program Counter，俗称PC，也就是x32寄存器，存储着CPU当前正在执行的地址。

堆栈指针

SP (Stack Pointer)，就是x31寄存器，存储的是栈顶的地址
FP (Frame Pointer)，FP也就是x29寄存器，存储着栈底的地址
随着函数的调用，SP、FP会不断的变化。

链接寄存器

LR（Link Register），也就是x30寄存器，存储着函数的返回地址。
当函数结束时，就是通过LR寄存器的值，跳转到调用函数的位置继续往下执行。

程序状态寄存器

CPSR (Current Program Status Register)，各个bit的含义如下图：

cpsr.jpeg

SPSR (Saved Program Status Register)，在异常状态下使用，当发生异常时，会把CPSR的内容写入SPSR, 等异常恢复之后，又会把SPSR写会到CPSR中。

零寄存器

WZR
XZR
里面存储的值都是0。

---

常用指令

算术运算指令

mov 赋值指令

mov x0, #2  // 把2这个值赋值给x0寄存器
mov x0, x1  // 把x1寄存器中的值赋值给x0寄存器中

add
两个操作数相加，相加的结果存放到一个寄存器中

add, x2, x0, x1 //把x0的值与x1的值相加，得到的结果存放到x2寄存器中
add, x2, x0, #3 // 把x0的值与3相加，得到的结果存放到x2寄存器中

sub
第一个操作数减第一个操作数，得到的结果存放到一个寄存器中

sub, x2, x1, x0 // x1的值减去x0的值，得到的结果存放到*x2*寄存器中
sub, x2, x1, #4 // x1的值减去4，得到的结果存放到x2寄存器中

mul 乘法指令

mul x3, x1, x2  // x1 乘以 x2 的结果存放在 x3 中

sdiv 除法指令

sdiv    w0, w0, w1 // w0 除以 w1 的结果存放在 w0 中

逻辑运算指令

这里的运算是指位运算

1. LSL 逻辑左移
   按操作数所指定的数量向左移位，低位用零来填充
2. ASL 算术左移
   通逻辑左移，ASL 与 LSL等价

lsl x0, x0, #1
asl x1, x1, x0

3. LSR 逻辑右移
   按操作数所指定的数量向右移位，左端用零来填充。

4. ASR 算术右移
   按操作数所指定的数量向右移位，左端用最高位位的值来填充 ，如果是负数，最高位为1

lsr w1, w2, #1
asr x1, x2, #2

5. ROR 循环右移
   按操作数所指定的数量向右循环移位， 左端用右端移出的位来填充。其中，操作数可以是通用寄存器，也可以是立即数。 当进行寄存器bit位数的循环右移操作时，通用寄存器中的值不改变。

ror x0, #6
ror w0, #32  // 循环移动了32位，w0的值不变

跳转指令

ret
相当于高级编程语言的return，函数返回。

cmp
将两个操作数相减，相减的结果会影响cpsr 寄存器的标志位，当结果小于0时，CPSR寄存器的N位为1， 等于0时， CPSR寄存器的Z为位1。
cmp x0, x1

b
跳转指令，跳转找指定的标记处执行；可以带条件跳转，一般跟cmp配合使用，使用到的条件域如下：

1. EQ：equal
2. NE：not equal
3. GT：great than
4. GE：great equal
5. LT：less than
6. LE：less equal

普通跳转
b testCode，testCode是汇编代码中的一个标记

条件跳转，当x0和x1的值相等时，才跳转到testCode标记处执行代码

cmp x0, x1
beq testCode

bl
带返回值的跳转指令，这个指令会做两个操作

1. 将下一条指令的地址存储到lr （x30）寄存器中
2. 跳转到标记处开始执行代码
   bl testCode，当执行完testCode标记处代码后，又会返回来执行bl指令下面的指令。

---

内存操作

load从内存中读取数据

1. ldr 地址没有偏移或者偏移为正数时使用
2. ldur 地址偏移为负数时使用
   a) str x5 [x0] x0中是内存的地址，读取的值存放在x5寄存器中, x寄存器读取8个字节
   b）str w6 [x0] x0中是内存的地址，读取的值存放在w5寄存器中, w寄存器读取4个字节

说明: 地址还可以偏移 str x5 [x0, #0x4] , stur x5 [x0, #-0x4] , 偏移量为正数往高地址偏移，使用str指令、偏移量为负数往低地址偏移，使用stur指令。

3. ldp 从指定内存中读取数据到一对寄存器中， p 是 pair的意思，这一对寄存器必须是同类型的，要么x类型, 要么w类型。其中低位读取到第一个寄存器、高位读取到第二个寄存器
   ldp w5, w6, [x0] , 地址可以偏移 ldp x5, x6, [x0, #-x04]

store 往指定的内存写入数据

1. str

str x1, [x0]
str w2, [x1]
str w3, [x1, #4]

2. stur

stur x3, [x0, #-4]
stur w2, [x1, #-4]

4. stp

stp x2, x3, [x0]
stp w4, w5, [x0]

使用方法与从内存中读取数据类似，只不过是往内存写入数据。

---

总结

本文整理了一些在逆向iOS程序时常见的一些汇编指令，当然在实际逆向的过程所看到的汇编指令更加复杂，比如还有函数调用栈，这是下篇的内容。如有错误请指正。

Refrence

1. iOS开发同学的arm64汇编入门 - 刘坤的技术博客
2. ARM汇编电子书