iOS逆向之伪代码中的block参数分析

作者: 千若逸 | 来源:发表于2019-03-04 22:48 被阅读0次

iOS逆向之伪代码中的block参数分析
ObJective-C之利用Block逆向传值
iOS开发之利用Block逆向传值
ios逆向笔记之block参数问题
iOS逆向反编译
Apple Documentation <Foundati
iOS逆向学习
iOS逆向之反HOOK的基本防护
iOS逆向工程优秀博客汇集(持续更新...)
ARM汇编基础(iOS逆向)

整理出来的旧笔记

以下两段代码是从IDA反汇编出来的伪代码，第一个函数中有block，第2个函数是这个block的具体实现：
updateViewWithValue 函数代码：代码1

//----- (001B309E) --------------------------------------------------------
// CustomView - (void)updateViewWithValue:(unsigned int)
void __cdecl -[CustomView updateViewWithValue:](struct CustomView *self, SEL a2, unsigned int a3)
{
  struct CustomView *v3; // r5@1
  unsigned int v4; // r4@1
  void *v5; // r0@1
  void *v6; // r6@1
  int v7; // [sp+0h] [bp-28h]@1
  int v8; // [sp+4h] [bp-24h]@1
  int v9; // [sp+8h] [bp-20h]@1
  int (__fastcall *v10)(int, int); // [sp+Ch] [bp-1Ch]@1
  _UNKNOWN *v11; // [sp+10h] [bp-18h]@1
  int v12; // [sp+14h] [bp-14h]@1
  unsigned int v13; // [sp+18h] [bp-10h]@1

  v3 = self;
  v4 = a3;
  v5 = objc_msgSend(self, "views");
  v6 = (void *)objc_retainAutoreleasedReturnValue(v5);
  v7 = (int)&_NSConcreteStackBlock;
  v8 = -1040187392;
  v9 = 0;
  v10 = sub_1B311E;
  v11 = &unk_EEE440;
  v13 = v4;
  v12 = objc_retain(v3);
  objc_msgSend(v6, "enumerateObjectsUsingBlock:", &v7);
  objc_release(v6);
  objc_release(v12);
}
// AE0184: using guessed type int __fastcall objc_release(_DWORD);
// AE01C4: using guessed type int __fastcall objc_retainAutoreleasedReturnValue(_DWORD);
// EE4A58: using guessed type void *_NSConcreteStackBlock_ptr;
// FFCCDC: using guessed type char *selRef_enumerateObjectsUsingBlock_;

enumerateObjectsUsingBlock 后面的block块代码：代码2

//----- (001B311E) --------------------------------------------------------
int __fastcall sub_1B311E(int a1, int a2)
{
    int v2; // r11@1
    int v3; // r0@1
    int v4; // r4@1
    void *v5; // r0@1
    void *v6; // r0@2
    void *v7; // r10@2
    void *v8; // r0@3
    void *v9; // r0@4
    void *v10; // r6@4
    void *v11; // r0@4
    void *v12; // r6@4
    int v18; // r5@4
    void *v19; // r0@4
    void *v20; // r0@4
    void *v21; // r6@4
    void *v22; // r8@5
    void *v23; // r11@5
    void *v26; // r0@7
    void *v27; // r5@7
    int v29; // [sp+10h] [bp-30h]@4
    int v30; // [sp+10h] [bp-30h]@5
    void *v31; // [sp+18h] [bp-28h]@4
    void *v32; // [sp+1Ch] [bp-24h]@4

    v2 = a1;
    v3 = objc_retain(a2);
    v4 = objc_retain(v3);
    v5 = objc_msgSend(&OBJC_CLASS___NewPage, "class");
    if ( objc_msgSend((void *)v4, "isKindOfClass:", v5) )
    {
        objc_msgSend((void *)v4, "setTop:", 0);
        objc_msgSend((void *)v4, "setLeft:", 0);
        v6 = objc_msgSend((void *)v4, "pageView");
        v7 = (void *)objc_retainAutoreleasedReturnValue(v6);
        if ( v7 )
        {
            v8 = objc_msgSend(&OBJC_CLASS___ContentView, "class");
            if ( objc_msgSend(v7, "isKindOfClass:", v8) )
            {
                v9 = objc_msgSend(v7, "mainView");
                v10 = (void *)objc_retainAutoreleasedReturnValue(v9);
                v32 = objc_msgSend(v10, "width");
                objc_release(v10);
                v11 = objc_msgSend(v7, "mainView");
                v12 = (void *)objc_retainAutoreleasedReturnValue(v11);
                _R8 = objc_msgSend(v12, "height");
                objc_release(v12);
                __asm { VMOV            D8, R8, R8 }
                v29 = v2;
                v18 = *(_DWORD *)(v2 + 24);
                v31 = _R8;
                v19 = objc_msgSend((void *)v4, "contentView");
                v20 = (void *)objc_retainAutoreleasedReturnValue(v19);
                v21 = v20;
                if ( v18 == 1 )
                {
                    objc_msgSend(v20, "setMaximumZoomScale:", 1065353216);
                    objc_release(v21);
                    v30 = 0;
                    v22 = v32;
                    v23 = v31;
                }
                else
                {
                    objc_msgSend(v20, "setMaximumZoomScale:", 0x40000000);
                    objc_release(v21);
                    v22 = objc_msgSend(*(void **)(v2 + 20), "width");
                    v23 = objc_msgSend(*(void **)(v2 + 20), "height");
                    _R0 = objc_msgSend(*(void **)(v29 + 20), "height");
                    __asm
                    {
                    VMOV            D16, R0, R0
                    VSUB.F32        D16, D16, D8
                    VMOV.F32        D17, #0.5
                    VMUL.F32        D0, D16, D17
                    VMOV            R0, S0
                    }
                    v30 = _R0;
                }
                objc_msgSend((void *)v4, "layoutViewWithBounds:", 0, 0, v22, v23);
                objc_msgSend(v7, "setFrame:", 0, 0, v22, v23);
                v26 = objc_msgSend(v7, "mainView");
                v27 = (void *)objc_retainAutoreleasedReturnValue(v26);
                objc_msgSend(v27, "setFrame:", 0, v30, v32, v31);
                objc_release(v27);
            }
        }
        objc_release(v7);
    }
    objc_release(v4);
    return j__objc_release(v4);
}
// AE0184: using guessed type int __fastcall objc_release(_DWORD);
// AE01C4: using guessed type int __fastcall objc_retainAutoreleasedReturnValue(_DWORD);
// FFBBB0: using guessed type char *selRef_setFrame_;
// FFBCBC: using guessed type char *selRef_class;
// FFBCC0: using guessed type char *selRef_isKindOfClass_;
// FFC160: using guessed type char *selRef_width;
// 1001220: using guessed type char *selRef_setMaximumZoomScale_;

在代码2中，关键在于怎么定位 v18 = *(_DWORD *)(v2 + 24);中的v18是多少，以及v2是什么
还有v22 = objc_msgSend(*(void **)(v2 + 20), "width”); 中的v2+20 是什么？

先看v2，可以从代码2的开头看到 v2 = a1，也就是 block代码 sub_1B311E 函数的第一个参数，那么第一个参数是啥呢？刚开始我以为是OC代码里block的第一个参数，但实际上不是的，OC代码里block的第一个参数应该是a2，

根据逆向中获取 Block 的参数和返回值一文的最后几段，可知block在汇编中的第一个参数实际是 block 的引用地址
由于这个例子中 enumerateObjectsUsingBlock 是栈block，所以这个引用地址就是在栈上的。

这个栈地址在代码1 中就是对应v7的，再看v7的定义，是 int v7; // [sp+0h] [bp-28h]@1
即v2=v7=sp+0h
则v2+24=v7+24 = sp+24 = sp+ 18h
再看代码1中sp+18h对应的变量是v13
而v13在代码1中的值是v4，对应a3，也就是 updateViewWithValue 函数的参数值，显然是value所以v2 + 24是参数value` 的地址