iOS逆向-利用LLDB动态调试app

原创 已于 2025-03-12 14:02:17 修改 · 2.2k 阅读 · 29 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ios

于 2025-03-11 21:03:47 首次发布
引言

动态调试是逆向工程中“透视”应用运行逻辑的核心手段。相比静态分析,动态调试能实时观察内存状态、函数调用栈和寄存器变化,尤其适用于破解加密算法、分析复杂业务逻辑等场景。本文将以LLDB为核心工具,详解如何对iOS App进行动态调试,覆盖从环境搭建到高级技巧的全流程。

一、核心工具与环境准备

1. 必要工具

  • LLDB:Apple官方调试器,支持源码级调试与内存操作(集成在Xcode中)

  • debugserver:iOS端调试服务程序(需通过越狱设备获取)

  • iOS越狱设备:推荐使用Checkra1n或Unc0ver越狱的iPhone(iOS 14-15.5)

  • Python脚本:通过LLDB的Python API实现自动化调试

2. 环境配置步骤

步骤1:安装debugserver

  • 从越狱设备的/Developer/usr/bin/复制debugserver到Mac

  • 添加调试权限(Entitlements):

    <key>com.apple.springboard.debugapplications</key>  
<true/>  
<key>get-task-allow</key>  
<true/>  
<key>task_for_pid-allow</key>  
<true/>  
<key>run-unsigned-code</key>  
<true/>

    重签名:

codesign -s - --entitlements entitlements.plist -f debugserver

步骤2:配置SSH与端口转发

ssh -p 2222 root@iOS_IP   # 默认越狱SSH端口  
iproxy 1234 1234          # 将设备端口1234映射到本地

二、动态调试六步法

1. 附加目标进程

命令:

# 启动debugserver监听  
debugserver *:1234 -a "AppName"  

# Mac端连接  
lldb  
(lldb) process connect connect://iOS_IP:1234

技巧:

  • 若App有反调试保护,需先使用kill -0绕过或Frida Hook ptrace

2. 定位关键函数地址

方法1:符号断点

(lldb) breakpoint set -n "-[UIViewController viewDidLoad]"

方法2:ASLR偏移计算

(lldb) image list -o -f | grep TargetApp

  • 计算真实地址:基址 + 偏移

3. 设置断点与观察点

普通断点:

(lldb) br s -a 0x0000000100123456

内存读写观察点:

(lldb) watchpoint set expression -w write -- 0x16dff0a50
4. 寄存器与内存操作

查看寄存器:

(lldb) register read x0

修改内存值:

(lldb) memory write 0x12345678 "AAAA"

导出内存数据:

(lldb) memory read --outfile /tmp/dump.bin --count 256 0x12345678
5. 堆栈回溯与流程控制

查看调用栈:

(lldb) bt

单步执行:

(lldb) ni    # 汇编级单步  
(lldb) s     # 源码级单步

继续执行:

(lldb) continue

6. 实时Hook与代码注入

执行任意代码:

(lldb) expr -- (void)printf("Hooked!\\n")

调用Objective-C方法:

(lldb) expr -- (void)[[NSUserDefaults standardUserDefaults] setObject:@"test" forKey:@"key"]

三、实战案例:破解登录加密算法

场景描述

目标App的登录请求参数包含加密字段encryptedToken,需逆向其生成逻辑。

调试过程

  1. 定位加密函数

    • 通过字符串搜索找到encryptedToken的赋值位置

    • 设置断点:br s -a 0x100012300+0x1234

  2. 分析寄存器与参数

    (lldb) po $x1           # 查看Objective-C方法名  
(lldb) x/s $x2          # 查看输入字符串地址  
(lldb) register read x3 # 查看密钥指针

  3. 追踪加密结果

    • 在函数返回前(ret指令)捕获X0寄存器的值

    • 导出内存:memory read --format bytes --count 32 $x0

  4. 验证算法

    • 对比多次调试结果,确认是否为AES-CBC模式

    • 提取密钥与IV参数,使用Python还原加密过

四、高级技巧:LLDB自动化

1. Python脚本扩展
# 自动化断点回调  
def breakpoint_callback(frame, bp_loc, dict):  
    print("Hit breakpoint! RAX =", frame.registers["rax"].value)  
    return False  

target = lldb.debugger.GetSelectedTarget()  
bp = target.BreakpointCreateByAddress(0x12345678)  
bp.SetScriptCallbackFunction("breakpoint_callback")
2. 自定义命令
# 实现命令"dump_encrypted"  
def dump_encrypted(debugger, command, result, dict):  
    frame = debugger.GetSelectedTarget().GetProcess().GetSelectedThread().GetSelectedFrame()  
    encrypted_ptr = frame.FindRegister("x0").GetValueAsUnsigned()  
    data = debugger.GetSelectedTarget().GetProcess().ReadMemory(encrypted_ptr, 32, lldb.SBError())  
    print(bytes(data).hex())  

lldb.debugger.HandleCommand('command script add -f dump_encrypted dump_encrypted')

五、避坑指南

  1. 代码签名问题

    • 调试前需重签名App:codesign -fs "Your Cert" --entitlements entitlements.plist Target.app

    • 关闭SIP(macOS)与AMFI(iOS):amfi_get_out_of_my_way=0x1

  2. 多线程调试

    • 使用thread list查看所有线程

    • thread continue -t 2恢复指定线程

  3. 性能优化

    • 禁用无关符号加载:settings set target.load-script-from-symbol-file false

    • 使用target modules list管理加载模块

六、扩展思路

  1. 逆向系统框架

    • 结合Dyld Shared Cache分析UIKit内部逻辑

  2. 与Frida联动

    • 通过frida-ll-bridge实现双向通信

  3. 非越狱调试

    • 利用debugserver定制版本绕过签名验证

结语

LLDB动态调试如同为逆向工程师装上“X光透视眼”,不仅能观察应用运行时的每个细节,更能实时干预逻辑走向。掌握本文所述技巧后,读者可快速定位关键代码、破解加密逻辑,甚至挖掘隐藏功能。但切记,技术探索需在合法合规的边界内进行。

“技术是钥匙,但选择打开哪扇门取决于你。”

附录

destiny12__
关注
iOS逆向 -- 越狱手机LLDB调试 (实战)
evol_f的博客
02-20 1653
LLDB调试原理 通常正向开发,通过Xcode 调试手机是这样的: 1.Xcode 会给手机安装一个 debugserver 2.debugserver 依附于某个程序进程 3.Mac上Xcode 链接debugserver,并发送指令 , debugserver 对程序进行调试。 那么如何在越狱手机上对App进行调试 (不用Xcode) 1. 首先USB连接手机 ,cd 到 /Dev...
iOS 调试技巧——LLDB
u012903898的博客
01-13 2709
当我们的项目过大时,就会使我们项目的编译好使过长,如何在项目运行时进项代码调试,熟练使用LLDB就可以解决这个难题,大幅度提高我们的开发效率。 1、什么是 LLDBLLDB是英文Low Lever Debug的缩写,是XCode内置的为我们开发者提供的调试工具,它与LLVM编译器一起,存在于主窗口底部的控制台中,能够带给我们更丰富的流程控制和数据检测的调试功能。 2、LLDB的简单使用 2.1...
iOS安全】使用LLDB调试iOS App | LLDB基本架构 | LLDB安装和配置
最新发布
Juruo@Security
06-02 1190
iOS安全】使用LLDB调试iOS App | LLDB基本架构 | LLDB安装和配置 | 用Frida拿到地址,再用LLDB调试
iOS LLDB调试器和断点调试
weixin_33709364的博客
09-24 301
技巧一:运行时修改变量的值 你以前怎么验证是不是某个变量的值导致整段程序不能正常工作?修改代码中的变量的值,然后cmd+r重新启动app?现在你不需要这么做了,只需要设置一个断点,当程序在这进入调试模式后,使用expr命令即可在运行时修改变量的值。 假如有一个loginWithUsername:方法,需要两个参数:username,password。 首先设置好断点,如下图所示: 运行...
IOS逆向-动态调试
Tasfa的博客
07-29 977
LLDB Xcode 建立 XCode 工程 -> IOS -> APP Product Name最好一致 找到Build Phases Tab 删除所有item 点击+号,new run script # Type a script or drag a script file from your workspace to insert its path. cp -r "${SRCROOT}/Target/xxxx.app" "${BUILT_PRODUCTS_DIR}/" cd xxx
配合LLDB调试器进行iOS代码调试
weixin_34175509的博客
04-24 153
2019独角兽企业重金招聘Python工程师标准>>> ...
IOS逆向学习-动态调试原理、LLDB
yong_19930826的博客
05-21 1801
logify、Xcode运行原理 我们怎么知道微信点击红包之后调用了那个方法?
iOS 越狱逆向LLDB动态调试app 工具 --debugserver
06-23
在越狱环境中,我们可以利用LLDB与`debugserver`配合,实现对目标iOS应用的远程动态调试。 要开始这个过程,首先确保你的电脑和越狱设备之间有可靠的网络连接。然后,在越狱设备上安装`debugserver`,这通常可以...
iOS逆向工程使用LLDB的USB连接调试第三方App
09-01
iOS逆向工程中,LLDB是一个至关重要的工具,它是一个低级调试器,通常用于Xcode中的应用程序调试。在本文中,我们将探讨如何利用LLDB通过USB连接调试第三方App,以及如何配合Hopper进行更深入的分析。首先,我们...
iOS逆向工程:LLDB USB调试第三方App与Hopper结合分析
iOS逆向工程中,LLDB是一个重要的动态调试工具,它内置于Xcode中,允许开发者在运行时检查和控制应用程序。然而,通常只有在调试自己开发的App时才能获取必要的权限。为了调试AppStore下载的第三方App,我们需要...
iOS逆向动态调试
xhzth70911的博客
05-09 1467
1.拷贝越狱手机/Developer/usr/bin目录下的debugserver到Mac电脑 2.对debugserver进行瘦身(iOS11可以不用瘦身,因为只支持64位构架的程序),在debugserver所在目录输入lipo -info debugserver . 在终端输入:lipo -thinarmv7 debugserver -output debug-server 3.在xco.........
iOS-LLDB调试-整理
LiuShuaile的博客
03-24 340
http://www.jianshu.com/p/4a68742775df iOS-LLDB调试-整理
LLDB调试命令初探
baoyy的专栏
03-17 908
转自:http://www.starfelix.com/blog/2014/03/17/lldbdiao-shi-ming-ling-chu-tan/ 如果你在平时的开发中从未使用过调试器,那你恐怕不知道一个调试器的作用有多大。你可能只满足于通过printf或者NSLog输出信息用于调试。但你只要试着尝试在调试中开始使用调试LLDB,你会马上感受到调试器给你带来的便利。
08-1-iOS逆向动态调试App
goodswifter
04-19 724
文章目录一、什么是动态调试二、Xcode的动态调试原理三、动态调试任意APP3.1 debugserver的权限问题3.2 如何给debugserver签上权限 一、什么是动态调试 将程序运行起来,通过下断点、打印等方式,查看参数、返回值、函数调用流程等 二、Xcode的动态调试原理 关于GCC、LLVM、 GDB、LLDB Xcode的编译器发展历程: GCC→LLVM Xcode的...
ios逆向
qq_20913021的博客
05-03 3660
虽然iOS系统相比于其他手机操作系统相对安全,但是这个安全并不是绝对的。此文想以实际例子出发,告诉大家,如何去反编译一个app
iOS逆向
qq_43658148的博客
07-08 3779
iOS逆向
[iOS]LLDB调试
Gamin
11-20 1871
LLDB是一个有着REPL(read-eval-print-loop 交互式)的特性和C++、Phtyon插件的开源调试器,是Xcode工程中默认的调试器。
通过lldb远程调试iOS App
zhangmiaoping23的专栏
08-14 4814
通过lldb远程调试iOS App 苹果从Xcode5开始弃用了gcc及gdb, 只能使用llvm用lldb。 在越狱机上虽然仍然可以使用gdb进行调试,但lldb是趋势。下面就介绍一种通过Wifi或者USB,在Mac上使用lldbiOS App进行调试的方法。(仅限越狱机) 1. 在你的Mac上运行下面的命令,装载(mount) Xcode的develop kisk image
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值