iOS 符号表恢复 & 逆向支付宝

推荐序

本文介绍了恢复符号表的技巧，并且利用该技巧实现了在 Xcode 中对目标程序下符号断点调试，该技巧可以显著地减少逆向分析时间。在文章的最后，作者以支付宝为例，展示出通过在 UIAlertView 的 show 方法处下断点，从而获得支付宝的调用栈的过程。

本文涉及的代码也开源在：https://github.com/tobefuturer/restore-symbol，欢迎 Star 和提 Issue。感谢作者授权发表。

作者介绍：杨君，中山大学计算机系研究生，iOS 开发者，擅长领域 iOS 安全和逆向工程，个人博客：http://blog.imjun.net 。

前言

符号表历来是逆向工程中的 “必争之地”，而 iOS 应用在上线前都会裁去符号表，以避免被逆向分析。

本文会介绍一个自己写的工具，用于恢复 iOS 应用的符号表。

直接看效果 , 支付宝恢复符号表后的样子:

为什么要恢复符号表

逆向工程中，调试器的动态分析是必不可少的，而 Xcode + lldb 确实是非常好的调试利器 , 比如我们在 Xcode 里可以很方便的查看调用堆栈，如上面那张图可以很清晰的看到支付宝登录的 RPC 调用过程。

实际上，如果我们不恢复符号表的话，你看到的调试页面应该是下面这个样子：

同一个函数调用过程，Xcode 的显示简直天差地别。

原因是，Xcode 显示调用堆栈中符号时，只会显示符号表中有的符号。为了我们调试过程的顺利，我们有必要把可执行文件中的符号表恢复回来。

符号表是什么

我们要恢复符号表，首先要知道符号表是什么，他是怎么存在于 Mach-O 文件中的。

符号表储存在 Mach-O 文件的 __LINKEDIT 段中，涉及其中的符号表（Symbol Table）和字符串表（String Table）。

这里我们用 MachOView 打开支付宝的可执行文件，找到其中的 Symbol Table 项。

符号表的结构是一个连续的列表，其中的每一项都是一个 struct nlist。

//  位于系统库 <macho-o/nlist.h> 头文件中
struct nlist {  
  union {  
    // 符号名在字符串表中的偏移量
    uint32_t n_strx;  
  } n_un;
  uint8_t n_type;
  uint8_t n_sect;
  int16_t n_desc;  
  // 符号在内存中的地址，类似于函数指针
  uint32_t n_value;
};

这里重点关注第一项和最后一项，第一项是符号名在字符串表中的偏移量，用于表示函数名，最后一项是符号在内存中的地址，类似于函数指针（这里只说明大概的结构，详细的信息请参考官方 Mach O 文件格式的文档）。

也就是说如果我们知道了符号名和内存地址的对应关系，我们是可以根据这个结构来逆向构造出符号表数据的。

知道了如何构造符号表，下一步就是收集符号名和内存地址的对应关系了。

获取 OC 方法的符号表

因为 OC 语言的特性，编译器会将类名、函数名等编译进最后的可执行文件中，所以我们可以根据 Mach-O 文件的结构逆向还原出工程里的所有类，这也就是大名鼎鼎的逆向工具 class-dump 了。class-dump 出来的头文件里是有函数地址的：

所以我们只要对 class-dump 的源码稍作修改，即可获取我们要的信息。

符号表恢复工具

整理完数据格式，又理清了数据来源，我们就可以写工具了。

实现过程就不详细说明了，工具开源在我的 Github 上了，链接：
https://github.com/tobefuturer/restore-symbol

我们来看看怎么用这个工具：

1. 下载源码编译

git clone --recursive https://github.com/tobefuturer/restore-symbol.git
cd restore-symbol && make
./restore-symbol

2. 恢复 OC 的符号表，非常简单

 ./restore-symbol ./origin_AlipayWallet -o ./AlipayWallet_with_symbol

origin_AlipayWallet 为 Clutch 砸壳后，没有符号表的 Mach-O 文件
-o 后面跟输出文件位置

3. 把 Mach-O 文件重签名打包，看效果

文件恢复符号表后，多出了 20M 的符号表信息

Xcode 里查看调用栈

可以看到，OC 函数这部分的符号已经恢复了，函数调用栈里已经能看出大致的调用过程了，但是支付宝里，采用了 block 的回调形式，所以还有很大一部分的符号没能正确显示。

下面我们就来看看怎么样恢复这部分 block 的符号。

获取 block 的符号信息

还是同样的思路，要恢复 block 的符号信息，我们必须知道 block 在文件中的储存形式。

block 在内存中的结构

首先，我们先分析下运行时，block 在内存中的存在形式。block 在内存中是以一个结构体的形式存在的，大致的结构如下：

struct __block_impl {  
  /**
  block 在内存中也是类 NSObject 的结构体，
  结构体开始位置是一个 isa 指针
  */
  Class isa;  
  /** 这两个变量暂时不关心 */
  int flags;  int reserved;  
  /**
  真正的函数指针！！
  */
  void (*invoke)(...);
  ...
}

说明下 block 中的 isa 指针，根据实际情况会有三种不同的取值，来表示不同类型的 block：

1. _NSConcreteStackBlock

   栈上的 block，一般 block 创建时是在栈上分配了一个 block 结构体的空间，然后对其中的 isa 等变量赋值。

2. _NSConcreteMallocBlock

   堆上的 block，当 block 被加入到 GCD 或者被对象持有时，将栈上的 block 复制到堆上，此时复制得到的 block 类型变为了 _NSConcreteMallocBlock。

3. _NSConcreteGlobalBlock

   全局静态的 block，当 block 不依赖于上下文环境，比如不持有 block 外的变量、只使用 block 内部的变量的时候，block 的内存分配可以在编译期就完成，分配在全局的静态常量区。

第 2 种 block 在运行时才会出现，我们只关注 1、3 两种，下面就分析这两种 isa 指针和 block 符号地址之间的关联。

block isa 指针和符号地址之间的关联

分析这部分需要用到 IDA 这个反汇编软件 , 这里结合两个实际的小例子来说明：

1._NSConcreteStackBlock

假设我们的源代码是这样很简单的一个 block：

@implementation ViewController

- (void)viewDidLoad {
    int t = 2;
    void (^ foo)() = ^(){
        NSLog(@"%d", t); //block 引用了外部的变量 t
    };
    foo();
}

@end

编译完后，实际的汇编长这个样子：

实际运行时，block 的构造过程是这样：

1. 为 block 开辟栈空间

2. 为 block 的 isa 指针赋值（一定会引用全局变量：_NSConcreteStackBlock）

3. 获取函数地址，赋值给函数指针

所以我们可以整理出这样一个特征：

重点来了 !!!

凡是代码里用到了栈上的 block，一定会获取__NSConcreteStackBlock作为 isa 指针，同时会紧接着获取一个函数地址，那个函数地址就是 block 的函数地址。

结合下面这个图，仔细理解上面这句话
（这张图和上面那张图是同一个文件，不过裁掉了符号表）

利用这个特征，逆向分析时我们可以做如下推断：

在一个 OC 方法里发现引用了__NSConcreteStackBlock这个变量，那么在这附近，一定会出现一个函数地址，这个函数地址就是这个 OC 方法里的一个 block。

比如上面图中，我们发现 viewDidLoad 里，引用了__NSConcreteStackBlock, 同时紧接着加载了 sub_100049D4 的函数地址，那我们就可以认定 sub_100049D4 是 viewDidLoad 里的一个 block, sub_100049D4 函数的符号名应该是 viewDidLoad_block.

2. _NSConcreteGlobalBlock

全局的静态 block，是那种不引用 block 外变量的 block，他因为不引用外部变量，所以他可以在编译期就进行内存分配操作，也不用担心 block 的复制等等操作，他存在于可执行文件的常量区里。

不太理解的话，看个例子：

我们把源代码改成这样：

@implementation ViewController

- (void)viewDidLoad {

    void (^ foo)() = ^(){
        //block 不引用外部的变量
        NSLog(@"%d", 123);
    };
    foo();
}

@end

那么在编译后会变成这样：

那么借鉴上面的思路，在逆向分析的时候，我们可以这么推断

1. 在静态常量区发现一个 _NSConcreteGlobalBlock 的引用

2. 这个地方必然存在一个 block 的结构体数据

3. 在这个结构体第 16 个字节的地方会出现一个值，这个值是一个 block 的函数地址

3. block 的嵌套结构

实际在使用中，可能会出现 block 内嵌 block 的情况：

- (void)viewDidLoad {
  dispatch_async(background_queue ,^{
    ...
    dispatch_async(main_queue, ^{
      ...    
    });
  });
}

所以这里 block 就出现了父子关系，如果我们将这些父子关系收集起来，就可以发现，这些关系会构成图论里的森林结构，这里可以简单用递归的深度优先搜索来处理，详细过程不再描述。

block 符号表提取脚本（IDA+python）

整理上面的思路，我们发现搜索过程依赖于 IDA 提供各种引用信息，而 IDA 是提供了编程接口的，可以利用这些接口来提取引用信息。

IDA 提供的是 Python 的 SDK，最后完成的脚本也放在仓库里 search_oc_block/ida_search_block.py (https://github.com/tobefuturer/restore-symbol/blob/master/search_oc_block/ida_search_block.py。

提取 block 符号表

这里简单介绍下怎么使用上面这个脚本：

1. 用 IDA 打开支付宝的 Mach-O 文件

2. 等待分析完成！ 可能要一个小时

3. Alt + F7 或者 菜单栏 File -> Script file...

等待脚本运行完成，预计 30s 至 60s，运行过程中会有这样的弹窗

1. 弹窗消失即 block 符号表提取完成

2. 在 IDA 打开文件的目录下 , 会输出一份名为block_symbol.json的 json 格式 block 符号表

恢复符号表 & 实际分析

用之前的符号表恢复工具，将 block 的符号表导入 Mach-O 文件

 ./restore-symbol ./origin_AlipayWallet -o ./AlipayWallet_with_symbol -j block_symbol.json

-j 后面跟上之前得到的 json 符号表

最后得到一份同时具有 OC 函数符号表和 block 符号表的可执行文件

这里简单介绍一个分析案例 , 你就能体会到这个工具的强大之处了。

1. 在 Xcode 里对 -[UIAlertView show] 设置断点

• 运行程序，并在支付宝的登录页面输入手机号和 错误的密码 ，点击登录

• Xcode 会在 ‘密码错误’ 的警告框弹出时停下，左侧会显示出这样的调用栈

一张图看完支付宝的登录过程

项目开源地址：

https://github.com/tobefuturer/restore-symbol