本文基于重签名后的IPA包安装在越狱手机上运行的包实现动态调试。动态调试借助于ldid、debugserver、lldb 来实现。
- ldid: 调试工具需要自行安装至Mac端;
-
debugserver: 存于手机系统中,但是原本手机上的debugserver不具备get-task-allow和task_for_pid-allow权限,需要赋予权限后重新签名将其通过SSH传输至手机上; - LLDB(Low level Debuger): 轻量级调试 位于Mac。
一、准备工作
1.ldid
如果Mac上未安装 ldid,则直接执行指令:
$ brew install ldid
2. debugserver
a. 获取
通过一下路径可获取到 debugserver,将其复制出至空文件夹中:
/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport/13.4/DeveloperDiskImage.dmg/usr/bin/debugserver
PS:真机调试包的版本号需与手机系统的版本号对应。
b. 赋予权限 & 重签名
导出 entitlements 文件
$ ldid -e debugserver > debugserver.entitlements
通过文本编辑打开 debugserver.entitlements(debugserver.entitlements 无法直接打开,因为文件内包含两份配置 arm64、arm64v),将其内文本替换为一下内容(entitlements 中添加 get-task-allow 和 task_for_pid-allow 权限):
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>com.apple.backboardd.debugapplications</key>
<true/>
<key>com.apple.backboardd.launchapplications</key>
<true/>
<key>com.apple.frontboard.debugapplications</key>
<true/>
<key>com.apple.frontboard.launchapplications</key>
<true/>
<key>com.apple.springboard.debugapplications</key>
<true/>
<key>com.apple.system-task-ports</key>
<true/>
<key>get-task-allow</key>
<true/>
<key>platform-application</key>
<true/>
<key>run-unsigned-code</key>
<true/>
<key>task_for_pid-allow</key>
<true/>
</dict>
</plist>
重签名
# 查看权限信息
$ codesign -d --entitlements - debugserver
# 签名权限
$ codesign -f -s - --entitlements debugserver.entitlements debugserver
# 或着简写为
$ codesign -fs- --entitlements debugserver.entitlements debugserver
c. 将 debugserver 传输至手机上
将 debugserver 传输至 iPhone 上并放置于 /usr/bin/, 并对其附加权限
# iphone-ip 为手机IP地址
$ scp -r /xxx/debugserver root@iphone-ip:/usr/bin
# 例如 scp -r /Desktop/xxx/debugserver root@10.22.48.5:/usr/bin
# 输入 SSH 秘钥
$ alpine
# 开启SSH, iphone-ip 为手机IP地址
$ ssh root@iphone-ip
# 输入 SSH 秘钥
$ alpine
# 增加权限
$ chmod +x /usr/bin/debugserver
二、debugserver 与 App 建立交互
新建终端窗口,将debugserver 与 App 建立交互
# 开启 SSH
$ ssh root@ip
# 输入SSH 密码,下面为默认密码
$ alpine
# 启动应用后 可通过Mac端的控制台获取到进程ID/进程名
# ProcessID 为进程名/进程ID
$ debugserver 127.0.0.1:10011 -a <ProcessName/ProcessID>
三、debugserver 与 LLDB 建立交互
新建终端窗体,启用端口 10011
# 新建终端窗口
$ iproxy 10011 10011
# 如果需要关闭端口
# 查看端口信息
$ lsof -i:10011
# kill 对应的PID
$ kill -9 <PID>
新建终端窗口,将 debugserver 与 LLDB 建立交互
$ lldb
$ process connect connect://127.0.0.1:10011
# 或 process connect connect:localhost:10011
# 关联成功后,进程默认暂停,需要执行一下命令让程序继续运行
$ c
四、指令响应归纳
App增加了 ptrace,动态调试建立关联报错,打印信息如下:
debugserver-@(#)PROGRAM:LLDB PROJECT:lldb-900.3.106
for arm64.
Attaching to process 6044...
Segmentation fault: 11
未做防护建立关联正确信息,打印信息如下:
debugserver-@(#)PROGRAM:LLDB PROJECT:lldb-900.3.98
for arm64.
Attaching to process FYPrototypeDemo...
Listening to port 10011 for a connection from localhost...
Waiting for debugger instructions for process 0.
debugserver 与 LLDB 建立交互,打印信息如下:
Process 12370 stopped
* thread #1, queue = 'com.apple.main-thread', stop reason = signal SIGSTOP
frame #0: 0x00000001bf85b5f4 libsystem_kernel.dylib`mach_msg_trap + 8
libsystem_kernel.dylib`mach_msg_trap:
-> 0x1bf85b5f4 <+8>: ret
libsystem_kernel.dylib`mach_msg_overwrite_trap:
0x1bf85b5f8 <+0>: mov x16, #-0x20
0x1bf85b5fc <+4>: svc #0x80
0x1bf85b600 <+8>: ret
Target 0: (FYPrototypeDemo) stopped.
五、lldb 指令
1. breakpoint
查看断点列表
$ breakpoint list
禁用断点
# 禁用所有
$ breakpoint disable
# 禁用第一个断点
$ breakpoint disable 1.1
启用断点
# 启用所有断点
$ breakpoint enable
# 启用第一个断点
$ breakpoint enable 1.1
删除断点
# 删除所有断点
$ breakpoint delete
# 删除第1组断点, 删除只能删除一组,不能单个删除
$ breakpoint delete 1
下断点
# 通过函数名下断点
$ breakpoint set --name <methodName>
# 或者
$ breakpoint set -n <methodName>
# 连续下多个断点
$ breakpoint set -n <methodName> -n <methodName>
# 例如 breakpoint set -n "-[ViewController save:]" -n "-[ViewController pause:]" -n "-[ViewController continues:]"
设置 selector 断点
$ breakpoint set --selector <selector>
# 例如 breakpoint set --selector touchesBegan:withEvent:
设置带有相同字符串的方法断点
$ breakpoint set -r Game:
给某一个文件下的带有相同字符串的方法下断点:
$ breakpoint set --file <filename> -r <method>
# 例如 breakpoint set --file ViewController.m -r Game
注意:
简写:breakpoint->b
打印列表需要写全:breakpoint list 或者 break list
2. bt、frame 命令
查看函数相关信息,使用p、down追踪函数的调用和被调用关系
# 使用bt命令查看函数调用堆栈
$ frame select
查找方法的调用者及方法名称
$ frame variable
3. methods、pviews 命令
methods打印当前对象的属性和方法
$ methods self
4. 命令大全
LLDB指令
LLDB指令的格式是:
<command> [<subcommand> [<subcommand>...]] <action> [-options [option- value]] [argument [argument...]],其中,command代表命令,subcommand代表子命令,action代表命令的动作,- options 代表命令的选项,argument代表命令的参数,[]中的可以省略。
help命令,用于查看指令的用法,例如:help breakpoint、help breakpoint set
expression命令,执行一个表达式,例如:expression self.view.backgroundColor = [UIColor redColor],expression与print、p、call的效果一样
thread backtrace命令,打印线程的堆栈信息,与bt命令效果一样
thread return []命令,让函数直接返回某个值,不会执行断点后面的代码了,例如:thread return 3,返回了3
frame variable []命令,打印当前栈帧的变量
thread continue、continue、c命令,让程序继续运行
thread step-over、next、n命令,单步执行,把子函数当做一个整体,不会进入子函数
thread step-in、step、s命令,单步执行,遇到子函数会进入子函数内部
breakpoint set命令,设置断点,参数主要有以下几种:
breakpoint set -a 函数地址
breakpoint set -n 函数名
breakpoint set -r 正则表达式
breakpoint set -s 动态库 -n 函数名
breakpoint list命令,列出所有的断点,每个断点都有自己的编号
breakpoint delete 断点编号命令,删除某个断点
breakpoint command add 断点编号命令,给断点预先设置需要执行的命令,到触发断点时,就会按顺序执行
breakpoint command list 断点编号命令,查看某个断点的预设命令
watchpoint内存断点,就是当内存数据改变时,触发此断点,以便确认是谁修改了内存,子命令主要有以下几种:
watchpoint set variable 变量,例如:watchpoint set variable self->_age,当age变量改变时,断点就会触发,以便找到修改age内存的代码
watchpoint set expression 地址,例如:watchpoint set expression &self->_age
watchpoint list,列出所有的内存断点
watchpoint delete 断点编号,删除此内存断点
watchpoint command add 断点编号,给此内存断点,增加预设命令
image lookup,寻找模块信息,如果你想找某个类型、某个方法、某个地址在模块中的什么位置,就可以用这个命令,主要参数如下:
image lookup -t 类型,查找某个类型的信息,例如image lookup -t NSInterger
image lookup -a 地址,看看某个内存地址在模块中的位置
image lookup -n 符号或者函数名,查找某个符号或者函数的位置
image list,列出所加载的模块信息
一些小技巧:敲Enter会自动执行上次的命令、绝大部分命令可以使用缩写
网友评论