使用ARM彙編破解iOS程式基礎知識分享_IOS

一、Thumb指令與ARM指令

　　Thumb指令為16位，因此儲存代碼的密度高，節省儲存空間。但是功能不全，它只是ARM指令（32位）集的補充，是ARM指令集下的一個子集。在初級階段我們不需要瞭解這些知識，只要有個概念知道有這麼個東西就可以。

二、ARM的寄存器初步瞭解

　　R0-R3:　　　　　　　　用於函數參數及傳回值的傳遞，超過4個參數，其它參數存在棧中，在ARM中棧是向下生長的，R0還可以作為傳回值。
　　R4-R6, R8,R10-R11:　沒有特殊規定，就是普通的通用寄存器
　　R7:　　　　　　　　　　棧幀指標，指向母函數與被調用子函數在棧中的交界。
　　R9:　　　　　　　　　　在iOS3.0被作業系統保留
　　R12:　　　　　　　　　內部程序呼叫寄存器，動態連結時會用到，不必深究
　　R13:　　　　　　　　　SP(stack pointer)，是棧頂指標
　　R14:　　　　　　　　　LR(link register)，存放函數的返回地址。
　　R15:　　　　　　　　　PC(program counter)，指向當前指令地址。
　　CPSR:　　　　　　　　當前程式狀態寄存器，在使用者狀態下存放像condition標誌中斷禁用等標誌的。
　　另外還有VFP(向量浮點運算)相關的寄存器，不在列舉。

三、常用彙編

　　助記符　　說明
　　ADC　　帶進位的加法
　　ADD　　加法
　　AND　　邏輯與
　　B　　　 分支跳轉，很少單獨使用
　　BL 分支跳轉，跳轉後返回地址存入r14
　　BX 分支跳轉，並切換指令模式（Thumb/ARM）
　　CMP 比較值，結果存在程式狀態寄存器，一般用於分支判斷
　　BEQ 結果為0則跳轉
　　BNE 結果不為0跳轉
　　LDR 加寄存器，從記憶體載入到寄存器
　　LDRB 裝載位元組到寄存器
　　LDRH 裝載半字到寄存器（一個字是32位）
　　LSL 邏輯左移這是一個選項，不是指令
　　LSR 邏輯右移這是一個選項，不是指令
　　MOV 傳送值/寄存器到一個寄存器
　　STR 儲存一個寄存器，寄存器值存到記憶體
　　STRB 儲存一個位元組
　　STRH 儲存一個半字
　　SUB 減法
　　PUSH POP 堆棧操作

四、函數調用

　　函數的參數、局部變數、返回地址都在棧上存著，這部分棧上的記憶體稱為棧幀。和R0~R15（不一定全部）、CPSR等一起構成了函數的運行環境。每一個函數系統都會分配一個棧幀，執行完成後系統自動收回。每個函數都以為R0~R15、CPSR等CPU相關寄存器為自己一人享有，所以要做一些必要操作。

　　舉個例子：假設A調用B時，那麼A要儲存自己的運行環境（儲存現場），B執行完後，要恢複A的運行環境（恢複現場）；另外A還可以通過R0—R4來傳遞參數，參數超過4個可以通過棧，B返回時可以通過R0傳遞傳回值。其中主要涉及的就是棧的操作和寄存器的操作。下圖為函數調用前後棧的布局，左邊為調用前，右邊為調用後，當B返回時應回到左邊狀態（A調用B之前的狀態，就像沒有調用B一樣）。

　　在上圖中，一個棧幀除了已經提到的參數地區(parameter area)、連結地區(linkage area)、局部變數儲存區(local storage area)外還有棧幀指標存放地區(saved frame pointer)、寄存器儲存區(saved registers area)，棧幀寄存器就不再解釋，寄存器儲存區：儲存非易失寄存器（R4,R5,R6,R8,R10,R11）,後面的彙編代碼例子會介紹。

　　開始調用（現場保護）：

　　1）LR入棧；

　　2）R7入棧，包存要恢複的寄存器入棧；

　　3）R7 = SP地址；

　　4）將callee會修改且在返回caller時需要恢複的寄存器入棧；

　　5）分配棧空間給子程式使用。

　　下圖為彙編代碼（使用hopper disassemble反編譯的代碼），分析如下：

　　第一行：將LR, R7, R4-R6入棧；

　　第二行：r7=sp-0xc（指向old R7），之所以減去0xc因為PUSH後，r4，r5，r6佔去12個位元組；

　　第三行：儲存要恢複的寄存器；

　　第四行：給當前函數開闢棧空間。

　　函數返回（恢複現場）：

　　1）釋放棧空間；

　　2）恢複所儲存的寄存器；

　　3）恢複R7；

　　4）將之前存放的LR從棧上彈出到PC，這樣函數就返回了。

　　下圖為彙編代碼（使用hopper disassemble反編譯的代碼），分析如下：

　　第一行：釋放棧空間；

　　第二行：恢複儲存的寄存器；

　　第三行：恢複儲存的寄存器，恢複R7，將之前存放的LR從棧上彈出到PC。