[原]逆向iOS SDK -- “添加本地通知”的流程分析

观点：

代码面前没有秘密

添加通知的 Demo 代码

- (void)scheduleOneLocalNotification {

[[UIApplication sharedApplication] cancelAllLocalNotifications];

UILocalNotification *localNotification = [[UILocalNotification alloc] init];

localNotification.alertBody = @"Proteas";

localNotification.];

[[UIApplication sharedApplication] scheduleLocalNotification:localNotification];

[localNotification release]; localNotification = nil;

}

问题

参考如上的 Demo，相应的系统API为：-[UIApplication scheduleLocalNotification:]

可以看到添加本地通知相对简单，但是我们要多问几个为什么：

1、接口背后发生了什么？

2、本地通知有64个限制，如何控制的？

3、... ...

Reverse UIKit

UIApplication 是UIKit中的类，所以我们首先逆向 UIKit。

UIKit 的路径为：

/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOS6.1.sdk/System/Library/Frameworks/UIKit.framework

用 Hopper Disassembler（or IDA）打开这个库，Hopper 会开始反汇编、分析这个 MachO，待分析完毕后，可以看到如下界面：

scheduleLocalNotification的实现

这时我们查找 scheduleLocalNotification 的实现，在 Labels 下面的搜索框中输入 scheduleLocalNotification，Hopper 会查找出相关的实现，如下图：

在搜索出来的结果中点击第一个条目，右边窗口中会定位到实现的起始部分，如下图：

可以看到 scheduleLocalNotification: 的实现比较简单，只有 9 行汇编代码。

我们来分析下这几行代码：

1 movw r1, #0xf8c4

2 movt r1, #0x40 ;r1 = 0x40F8C4

3 movw r0, #0xc7be

4 movt r0, #0x41 ;r0 = 0x41C7BE

5 add r1, pc ;r1 = 0x5e5ec8

6 add r0, pc ;r0 = 0x5f2dc4

7 ldr r1, [r1] ;@selector(scheduleLocalNotification:)，a = *a

8 ldr r0, [r0] ;@bind__OBJC_CLASS_$_SBSLocalNotificationClient

9 b.w _objc_msgSend$shim

1、Hopper 使用的 Intel 系列的汇编语法：“目的”在左，“源”在右。

2、ARM没有直接加载32位立即数的指令，而是使用movw与movt。

3、Call Frame

表：ARM ABI Register Usage

Register	Brief	Preserved	Rules
r0	Argument and result	No	r0 and r1 are used for passing the first two arguments to functions, and returning the results of functions. If a function does not use them for a return value, they can take any value after a function.
r1	Argument and result	No
r2	Argument	No	r2 and r3 are used for passing the second two arguments to functions. There values after a function is called can be anything.
r3	Argument	No
lr	Return address	No	lr is the address to branch back to when a function is finished, but this does have to contain the same address after the function has finished.
sp	Stack pointer	Yes	sp is the stack pointer, described below. Its value must be the same after the function has finished.

上面几行代码的功能是：call + [SBSLocalNotificationClient scheduleLocalNotification:]。

当读到这段代码的时候，有个疑问：0x40F8C4 是如何得到的？

在说明这个问题之前需要先说下 MachO 文件的格式，如下图：

Objective-C 被编译、链接后，代码、类、方法、类与方法间关系被放到不同 Section 中，也就是说：

上面的代码与scheduleLocalNotification: （selector）在不同的 Section 中，这样就可以计算地址之间的差值了：

0x40F8C4 = (CodeSectionStartAddress + Offset)

- (SelfRefSectionStartAddress + Offset)

因为 ASLR（Address Space Layout Randomization）的存在，Section 的开始地址并不是固定的，也就是说差值并不总是0x40F8C4。

Reverse SpringBoardServices

scheduleLocalNotification的实现

搜索 SBSLocalNotificationClient，可以发现它是 SpringBoardServices中的类，

现在我们用同样的方法逆向 SpringBoardServices 库，如下图：

代码如下：

push {r4, r7, lr}

add r7, sp, #0x4

sub sp, #0x8

movw r1, #0x875c

mov r4, r0

movt r1, #0x0

movw r0, #0x8906

movt r0, #0x0

add r1, pc ; 0x13194

add r0, pc ; 0x13340

ldr r1, [r1] ; @selector(arrayWithObject:)

ldr r0, [r0] ; @bind__OBJC_CLASS_$_NSArray

blx imp___picsymbolstub4__objc_msgSend

mov r2, r0

movw r0, #0x8748

movt r0, #0x0

movs r3, #0x0

add r0, pc ; 0x13198

ldr r1, [r0];@selector(_scheduleLocalNotifications:cancel:replace:optionalBundleIdentifier:)

movs r0, #0x0

str r0, [sp]

str r0, [sp, #0x4]

mov r0, r4

blx imp___picsymbolstub4__objc_msgSend

add sp, #0x8

pop {r4, r7, pc}

上面是使用 Hopper 得到的汇编，

但是使用 GDB 调试程序，并进行反汇编后，发现两者不一致，

GDB 给出相对简单，此处以 GDB 为准。

状态说明：

r0 = SBSLocalNotificationClient

r1 = “scheduleLocalNotification:”

r2 = UILocalNotification Instance

代码：

mov r4, r0 ; r4 = SBSLocalNotificationClient

movw r0, #34450 ;

movt r0, #3577 位立即数

movw r1, #34344 ;

movt r1, #3577 ; 同上

movw r3, #34612 ;

movt r3, #3577 ; 同上

add r1, pc ; 惯用法

add r0, pc ; 同上

add r3, pc ; 同上

ldr r1, [r1, #0] ; r1 = "arrayWithObject:"

ldr r5, [r0, #0] ; r5 ="_scheduleLocalNotifications:cancel:replace:optionalBundleIdentifier:"

ldr r0, [r3, #0] ; r0 = NSArray

blx 0x3058faa4 ; [NSArray arrayWithObject:UILocalNotification]

movs r3, #0 ; r3 = 0, movs 影响标志位的 zero 位, 0--->1

mov r1, r5 ; r1 ="_scheduleLocalNotifications:cancel:replace:optionalBundleIdentifier:"

mov r2, r0 ; r2 = UILocalNotifications

mov r0, r4 ; r4 = SBSLocalNotificationClient

str r3, [sp, #0] ; 将 sp 指向的内存空间清零

str r3, [sp, #4] ; 将 sp + 4将 sp 指向的内存空间清零

blx 0x3058faa4 ; 调用

;_scheduleLocalNotifications:UILocalNotifications

; cancel:NO

; replace:NO

; optionalBundleIdentifier:nil

; 平衡运行栈的代码参考 Hopper 给出的反汇编

结论：

+[SBSLocalNotificationClient scheduleLocalNotification:]调用：

+[SBSLocalNotificationClient

_scheduleLocalNotifications:本地通知实例数组

cancel:NO

replace:NO

optionalBundleIdentifier:nil]

_scheduleLocalNotifications......的实现

Hopper 反汇编：

GDB反汇编代码：

push {r4, r7, lr} ;

add r7, sp, #4 ;

sub sp, #12 ;

movw r1, #34510 ; 0x86ce ;

ldr.w r12, [r7, #8] ;

movt r1, #3577 ; 0xdf9

ldr.w lr, [r7, #12] ;

add r1, pc ;

movs r4, #0 ;

ldr r1, [r1, #0] ;

stmia.w sp, {r12, lr} ;

str r4, [sp, #8] ;

blx 0x3058faa4 <dyld_stub_objc_msgSend>

add sp, #12 ;

pop {r4, r7, pc} ;

nop

这里主要是个参数值问题，不进行逐行分析了，

可以用调试得到结论，

在进行实际的调用前（红色代码），设置断点，打印出参数值：

得到相关参数：

r0 = SBSLocalNotificationClient

r1 = "_scheduleLocalNotifications:cancel:replace:optionalBundleIdentifier:waitUntilDone:"

r2 = 通知数组

r3 = 0, cancel

*(sp) = 0, waitUntilDone

*(sp + 4) = 0, optionalBundleIdentifier

*(sp +8) = 0, replace

结论：

+[SBSLocalNotificationClient

_scheduleLocalNotifications:本地通知实例数组

cancel:NO

replace:NO

optionalBundleIdentifier:nil]

调用：

+[SBSLocalNotificationClient

_scheduleLocalNotifications:本地通知实例数组

cancel:NO

replace:NO

optionalBundleIdentifier:nil

waitUntilDone:NO]

_scheduleLocalNotifications......waitUntilDone的实现

汇编代码，如下：

; Begin

PUSH {R4-R7,LR}

ADD R7, SP, #0xC ; R7此时指向栈参数的开始地址，参数入栈顺序：从右到左

PUSH.W {R8,R10,R11} ; 保存寄存器值，后续会进行修改

SUB SP, SP, #8 ; 开辟 sizeof(int) * 2的栈空间

MOVW R1, #(:lower16:(selRef_archivedDataWithRootObject_ - 0xA930))

MOV R8, R3 ; R8 = shouldCancle

MOVT.W R1, #(:upper16:(selRef_archivedDataWithRootObject_ - 0xA930))

MOV R0, #(classRef_NSKeyedArchiver - 0xA932) ;classRef_NSKeyedArchiver

ADD R1, PC ; selRef_archivedDataWithRootObject_

ADD R0, PC ; classRef_NSKeyedArchiver

LDR R1, [R1] ; "archivedDataWithRootObject:"

LDR R0, [R0] ; _OBJC_CLASS_$_NSKeyedArchiver

BLX _objc_msgSend ; R2 = Notifications

MOV R4, R0 ; R0 = NSData*

LDR.W R11, [R7,#shouldReplace] ; R11 = shouldReplace

LDR.W R10, [R7,#bundleIdentifier] ; R10 = bundleIdentifier

CMP R4, #0 ; check if NSData* is nil

BNE loc_A94C ; if NSData* != nil

MOVS R5, #0 ; if (NSData* == nil) R5 = 0

MOV R6, R5 ; R6 = 0

B loc_A974

; -----------------------------------------

loc_A94C:

MOV R0, #(selRef_bytes - 0xA958) ; selRef_bytes ; R0 = NSData*

ADD R0, PC ; selRef_bytes

LDR R1, [R0] ; "bytes"

MOV R0, R4 ; R0 = NSData*

BLX _objc_msgSend ; [NSData* bytes]

MOV R5, R0 ; R5 = void* of NSData

MOV R0, #(selRef_length - 0xA96C) ; selRef_length

ADD R0, PC ; selRef_length

LDR R1, [R0] ; "length"

MOV R0, R4

BLX _objc_msgSend ; [NSData* length]

MOV R6, R0 ; R6 = length of NSData

; -----------------------------------------

loc_A974:

BL _SBSSpringBoardServerPort

MOV R4, R0 ; R4 = R0 = port number of server

MOV R0, #(unk_F2DF - 0xA98A)

TST.W R11, #0xFF

ADD R0, PC

BEQ loc_A9C0 ; check if bundleIdentifier is nil

CMP.W R10, #0

BEQ loc_A9A2 ; R1 = should wait until done

MOV R0, #(selRef_UTF8String - 0xA99C) ; selRef_UTF8String

ADD R0, PC ; selRef_UTF8String

LDR R1, [R0] ; "UTF8String"

MOV R0, R10

BLX _objc_msgSend

; -----------------------------------------

loc_A9A2:

LDR R1, [R7,#shouldWait] ; R1 = should wait until done

MOV R2, R6

UXTB R3, R1

MOV R1, R5 ; void * of NSData

STR R3, [SP,#0x20+var_20]

UXTB.W R3, R8

STR R0, [SP,#0x20+var_1C]

MOV R0, R4 ; port number of the server

BL _SBScheduleLocalNotificationsBlocking

; -----------------------------------------

loc_A9B8:

ADD SP, SP, #8

POP.W {R8,R10,R11}

POP {R4-R7,PC}

; -----------------------------------------

loc_A9C0:

CMP.W R10, #0 ; check if bundleIdentifier is nil

BEQ loc_A9D8 ; R0 points to the UTF8String of appbundleIdentifier

MOV R0, #(selRef_UTF8String - 0xA9D2) ; selRef_UTF8String

ADD R0, PC ; selRef_UTF8String

LDR R1, [R0] ; "UTF8String"

MOV R0, R10

BLX _objc_msgSend

; -----------------------------------------

loc_A9D8:

LDR R1, [R7,#shouldWait] ; R0 points to the UTF8String of appbundleIdentifier

MOV R2, R6

UXTB R3, R1

MOV R1, R5 ; void * of Notification NSData

STR R3, [SP,#0x20+var_20]

UXTB.W R3, R8

STR R0, [SP,#0x20+var_1C]

MOV R0, R4 ; Port Number Of the XPC Server

BL _SBScheduleLocalNotifications

B loc_A9B8

; End

伪代码的实现，如下：

-(void)_scheduleLocalNotifications:(id)notifications

cancel:(BOOL)cancel

replace:(BOOL)replace

optionalBundleIdentifier:(id)bundleID

waitUntilDone:(BOOL)wait

{

id data = [NSKeyedArchiver archivedDataWithRootObject:notifications];

if (data != nil) {

bytes = [data bytes];

length = [data length];

} else {

bytes = 0;

length = 0;

}

port = _SBSSpringBoardServerPort();

if (wait == NO) {

if (bundleID) {

var_1C = [bundleID UTF8String];

}

var_20 = replace;

r2 = length;

r3 = cancel;

SBScheduleLocalNotifications(/*int*/ port, /*src*/ bytes);

return;

}

if (bundleID != nil) {

var_1C = [bundleID UTF8String];

}

var_20 = replace;

r2 = length;

r3 = cancel;

SBScheduleLocalNotificationsBlocking(/*int*/ port, /*src*/ bytes);

return;

}

上述代码的主要功能为：将通知进行序列化，然后调用本期通知的服务。

后续有时间再分析 SpringBoard 的通知服务部分，

需要说明的是：在对 SpringBoard 进行逆向分析前，需要去除其 ASLR。