iOS逆向工程之Hopper中的ARM指令

一、Hopper中的ARM指令

ARM处理器就不多说了，ARM处理器因为低功耗等原因，所以大部分移动设备上用的基本上都是ARM架构的处理器。当然作为移动设备的Android手机，iPhone也是用的ARM架构的处理器。如果你想对iOS系统以及你的应用进一步的了解，那么对ARM指令集的了解是必不可少的，ARM指令集应该也算得上是iOS逆向工程的基础了。

当你使用Hopper进行反编译时，里边全是ARM的指令，那是看的一个爽呢。下面就是使用Hopper打开MobileNote.app的一个Hopper的界面。从主窗口中可以看到全是ARM的指令呢，如果你对ARM指令不了解，那么如何进行分析呢，对吧。所以对ARM指令的了解，是iOS逆向工程的基础呢。今天这篇博客就总结一下ARM指令集的基础指令。

Hopper的功能是非常强大的，在Hopper中你可以对ARM指令进行修改，并且生成一个新的可执行文件。当然Hopper强大的功能可以帮助你更好的理解ARM汇编语言的业务逻辑，Hopper会根据ARM汇编生成相关的逻辑图，如下所示。从下方的逻辑图中你就能清楚的看到相关ARM汇编的指令逻辑。红线表明条件不成立时的跳转，蓝线则表明条件成立时的跳转。

Hopper的功能强大到可以将ARM汇编生成相应的伪代码，如果你看ARM指令不直观的话，那么伪代码对你来说会更好一些。下方就是Hopper根据ARM指令生成的伪代码，如下所示。

貌似有点跑偏了，今天的主题是ARM指令集，Hopper的东西就不做过多赘述了。

二、ARM指令集综述

ARM指令主要是对寄存器，栈、内存的操作。寄存器位于CPU中，个数少速度快，ARM指令集中大部分指令都是对寄存器操作，但有些指令是对栈和内存的操作。下方会对操作栈、寄存器以及内存的指令进行介绍。

1.栈操作---- push 与pop

先简单的聊一下栈的概念，“栈”说白了就是数据结构的一种，栈的数据结构具有LIFO（last in first out） ---- 后进先出的特点。栈在ARM中所指的其实是一块具有栈数据结构特点内存区。栈中主要用来暂存寄存器中的值得，比如R0寄存器正在使呢，可是现在有一个优先级比较高的函数要使用R0, 那么就先把R0的值Push到栈中暂存，然后等R0被优先级更高的函数使用完毕后在从栈中Pop出之前的值。在函数调用时一般会对栈进行操作。

对栈操作的命令就是push和pop了，一般会成对出现，在函数开始时将该函数执行时要使用的寄存器中的值push入栈，然后在函数结束时将之前push到栈中的值在pop到相应的寄存器中。

下方就是push和pop的用法的一个实例。在下方函数开始执行前，将该函数要使用的寄存器r4, r5, r7, lr使用push进行入栈操作，lr是该函数执行后要返回的地址。在函数执行完毕后，使用pop命令将函数执行前入栈的值在pop到相应的寄存器中。有一点需要注意的是将lr寄存器中的值在函数结束后pop到pc （Program Counter）寄存器中，pc寄存器中存储的是将要执行的命令的地址。这样一来，函数执行后就会返回到之前执行的地址上继续执行。

2. pc寄存器中的中的标志位

此处我们以32位指令为例，pc寄存器中的后四位是标志位，第28 - 31位分别对应着V (oVerflow)，C (Carry)，Z (Zero)，N (Negative)。下面分别来介绍一下这四种符号所表示的状态。

• N (Negative): 如果结果是负数则置位。

• Z (Zero): 如果结果是零则置位。

• C (Carry): 如果有进位则置位。

• V (Overflow): 在发生溢出的时候置位。

3. 命令操作符

下方是ARM指令集中常用的算术操作:

(1)加法操作

• ADD R0, R1, R2       ; R0 = R1 + R2

  • 上面的命令就比较简单，就是讲两个数值进行相加。

• ADC R0, R1, R2       ; R0 = R1 + R2 + C (Carry)

  • 带进位的加法，ADC将把两个操作数加起来，并把结果放置到目的寄存器中。ADC使用了C--进位标志，这样就可以做比32位大的加法了。下方就是128位的数字进行加法操作的汇编代码。

  • 我们现在要对一个128位的数字进行加法操作，因为我们使用的是32位的寄存器，所以要存储一个128位的数字，我们需要4个（128 / 32 = 4）寄存器。所以我们假设R0,R1,R2,R3寄存器中分别由低到高存储着第一个数字，而R4, R5, R6, R7存储着第二个数字。下方就是两个128数字相加操作的ARM汇编指令。我们将结果存储在R8, R9, R10, R11这四个寄存器中。首先我们执行的是将两个数的最低位相加并设置C标志位（ADDS R8, R0, R4），然后在进行下一位的操作，对R1和R5中的值进行相加，在相加后再加上上次操作的进位，然后再设置标志位，以此类推。这样我们最终的值就存储在了R8-R11这四个寄存器中。

(2)减法操作

• SUB R0, R1, R2       ; R0 = R1 - R2

  • 这个命名比较简单，就是使用R1寄存器中的值减去R2寄存器中的值，然后存储到R0中。

• SBC R0, R1, R2       ; R0 = R1 - R2 - !C

  • 带借位的减法，假如我们当前的寄存器是32Bit, 如果两个64bit的数值进行减法操作就要使用到SBC借位操作。因为当两个数值在进行减法操作时，如果需要借位时就会把C标志位进行清零操作，所以在进行SBC操作时需要将C标志位进行取反操作。下面我们一128位数值相减为例。该实例与上述的ADC命令类似，在此就不做过多赘述了。

• RSB R0, R1, R2       ; R0 = R2 - R1

  • 反向减法

• RSC R0, R1, R2       ; R0 = R2 - R1 - !C

  • 带借位的反向减法，上面这两个命令与SUB和SBC命令差不多，都是进行减法操作的，不过操作数的计算顺序不同。

(3)、乘法指令

在ARM指令集中，乘法指令有两种第一个是MUL, 第二个是带累加的乘法MLA。当然，这两个指令使用起来都不复杂。

• MUL: 乘法指令 MUL{条件}{S} R0, R1, R2     ;R0 = R1 * R2

• MLA: 乘法累加指令 MLA{条件}{S} R0, R1, R2, R3   ;R0 = R1 * R2 + R3

(4)、逻辑操作

逻辑操作比较好理解一些，与我们编程中使用的逻辑操作大同小异，无非是一些与、或、非、异或这些操作。

• AND R0, R1, R2       ; R0 = R1 & R2 

  • 与操作， 1 & 1 = 1， 1 & 0 = 1， 0 & 1 = 1，0 & 0 = 0；

• ORR R0, R1, R2       ; R0 = R1 | R2

  • 或操作， 1 | 1 = 1， 1 | 0 = 1， 0 | 1 = 1， 0 | 0 = 0；

• EOR R0, R1, R2       ; R0 = R1 ^ R2

  • 异或，1 ^ 1 =  1,  1 ^ 0 = 0,  0 ^ 1 = 0, 0 ^ 0 = 1;

• BIC R0, R1, R2         ; R0 = R1 &~ R2

  • 位清除指令，现将R2进行取反，然后再与R1进行与操作。R1 & (~R2)

  • 将R0的后四位清零：BIC R0, R0,#0x0F

• MOV R0, R1      ;R0 = R1

  • 赋值操作，将R1的值赋给R0

• MVN R0, R1      ;R0 = ~R1

  • 按位取反操作，将R1的每一位进行取反操作，然后赋值给R0

4、寄存器的装载和存储

有时我们需要将内存中的数据装载到寄存器中进行操作，或者将寄存器中运算后的数据存储到内存中，此时我们就会用到寄存器的装载和存储的相关命令。下方就一一的总结了这些命令。

(1)、传送单一数据

LDR{条件} Rd, <地址> 　　;将地址中的数据加载到Rd寄存器中

STR{条件} Rd, <地址>　　 ;将寄存器Rd中的数值存储到<地址>中的内存中

LDR{条件}B  Rd, <地址>   ;将内存地址所对应值得低8位加载到Rd的寄存器中。

STR{条件}B  Rd, <地址>   ;将寄存器Rd的后8为存的到内存地址中。

• LDR (Load Register) : 将数据从内存中取出，加载到寄存器。

  • LDR Rt, [Rn], #offset   ;Rt = *Rn; Rn = Rn + offset

  • LDR Rt, [Rn, #offset]!  ; Rt = *(Rn + offset); Rn = Rn + offset

• STR (Store Register): 将寄存器中的数据，存储到内存。

  • STR Rt, [Rn], #offset   ;*Rn = Rt; Rn = Rn + offset

  • STR Rt, [Rn, #offset]!  ;*(Rn + offset) = Rn; Rn = Rn + offset(地址回写)

(2)、一次传送两个数据

• LDRD (Load Register Double): 一次填充两个寄存器

  • LDRD R4, R5, [R6, #offset]    ;R4 = *(R6 + offset); R5 = *(R6 + offset + 4)

• STRD (Store Register Double)：一次存储两个值到内存

  • STRD R4, R5, [R6, #offset]    ;*(R6 + offset) = R4; *(R6 + offset + 4) = R5

(3)、块数据存取 

• LDM (Load Mutiple): 将一块数据从寄存器中加载到内存中（reg list）。

• STM (Store Multiple): 将块数据从内存中加载到寄存器。

• LDM与STM块内存操作都有一个后缀，下方就是这四种条件，我们假设下方R0寄存器中存储的值是0（R0 = 6）

  • 如：LDMDB R0, {R1 - R3}    ;R1 = 5, R2 = 4, R3 = 3

  • 如： LDMDA R0, {R1 - R3}    ;R1 = 6, R2 = 5, R3 = 4

  • 如：LDMIB R0, {R1 - R3}    ;R1 = 7, R2 = 8, R3 = 9

  • 如：LDMIA R0, {R1 - R3}    ;R1 = 6, R2 = 7, R3 = 8

  • IA (Increment After): 传输后再增加值，

  • IB (Increment Befor): 传输前增加值

  • DA (Decrement After)：传输后减少值

  • DB (Decrement Before)：传输前减少值

(4)、单一数据交换：SWP

SWP命令用来交换寄存器与内存直接的值，下方是SWP的指令格式：

SWP{条件}{B} Rd, Rm, [Rn]

上述命令表示将Rn中内存地址所指向内存中的数据加载到Rd中，然后将寄存器Rm中的值存储到该内存地址指向的区域中。如果Rd = Rm, 那么Rn指向的内存中的值就会与Rd进行交换。如果加上条件后缀的话，就说明在满足该条件时进行操作，后缀B则是操作低8位。

5、比较、分支与条件指令

分支与条件指令是编程中不可或缺的指令，在处理一些特定的业务逻辑时会经常使用到分支与条件指令。分支说白了就是跳转，而分支与条件结合使用就是当满足一定条件后进行特定的跳转。接下来，将总结一下ARM指令集中常用的分支指令与条件指令，更确切的说是条件后缀。

(1)、比较指令

在ARM指令集中使用到的比较指令有CMN、CMP、TEQ、TST。有一点需要注意的是CMN与CMP是算术指令，TEQ和TST属于逻辑指令。比较指令在执行后总是会设置标志位（N、Z、C、V）, 因为条件后缀是根据被设置的标志位来判断比较结果是否满足条件的。下方会给出详细的条件后缀。比较命令后方也是可以添加条件后缀的。

• CMN (Compare Negative) ---- 比较负值， CMN相同于CMP, 但他允许你对负值进行比较

  • CMN R0, R1　　     ;Status = R0 - R1

• CMP (Compare) ---- 之所以说CMP，CMN指令是算术指令，是因为他们讲操作数进行减法操作，并且设置相应的标志位，但是不记录计算结果。CMN与CMP进行的是算术减法操作，所以会影响C -- Carry标志。

  • CMP R0, R1　　     ;Status = R0 - R1

• TEQ (Test Equivalence) ---- 测试等价，TEQ对操作数进行异或（EOR）逻辑操作，来判断两个操作数是否相同。因为TEQ做的是异或运算，所以不会影响Carry标志位。

  • TEQ R0, R1           ;Status = R0 EOR R1

• TST (Test bits) ---- 测试位，使用TST命令来检查是否设置了特定的位。TST命中令其实是将两个操作数进行按位与（AND）操作，将结果存储在标志位中。可以使用TST来测试寄存器中某些位的特定值。

  • TST R0, R1　　      ;Status = R0 AND R1

(2)、分支指令

常用的分支指令是B、BL、BX这三个指令。

• B Lable ;该指令表示将PC设置成Lable, 而PC就是指向下一条将要执行的指令，所以B Lable执行后，接下来就会跳转到Label出进行下一条命令的执行。

• BL Label ; 执行该指令说明将LR设置成PC - 4, 然后再将PC设置成Lable。在执行BL Lable这条命令时，PC中存储的就是当前BL这条命令，而PC - 4就是上一条指令的地址，将PC - 4赋值给LR,也就是记录下跳转执行完指令后要返回的地址。如果BL在添加上一些条件，那么BL{条件}就可以进行循环了。

• BX Rd ; 该指令说明将Rd赋值给PC, 然后切换指令集（如从ARM指令集切换到Thumb指令集）。

(3)、条件后缀

上述的分支指令与条件后缀结合才能发挥其强大的功能和作用，解析这部分介绍的是就是我们的条件后缀。条件后缀不能单独的使用，要和其他命令一块结合使用，然后根据条件的结果来做一些操作。下方是所有条件后缀，条件是否成立是根据NZCV这四个标志位来判断的，因为我们在对一些数值进行比较时，会设置相应的标志位。然后我们就可以使用这些标志位来判断条件是否成立。NZCV就是我们之前所提到的几个标志位，Z（是否为零）, C（是否进位）, N（是否为负）, V（是否溢出）四种标准位来判断的。

• EQ: Equal   等于，（Z = 1）

• NE: Not Equal   不等于 (Z = 0)

• CS: Carry Set   有进位 （C = 1）

• HS: (unsigned Higher Or Same) 同CS (C = 1)

• CC: (Carry Clear) 没有进位 (C = 0)

• LO: (unsigned Lower) 同CC  (C = 0)

• MI: (Minus) 结果小于0  (N = 1)

• PL: (Plus) 结果大于等于0 (N = 0)

• VS: (oVerflow Set) 溢出 (V = 1)

• VC: (oVerflow Clear) 无溢出 (V = 0)

• HI : (unsigned Higher) 无符号比较，大于 (C = 1 & Z = 0)

• LS: (unsigned Lower or Same) 无符号比较，小于等于 (C = 0 & Z = 1)

• GE: (signed Greater than or Equal) 有符号比较，大于等于 (N = V)

• LT: (signed Less Than) 有符号比较，小于  (N != V)

• GT: (signed Greater Than) 有符号比较，大于 (Z = 0 & N = V)

• LE: (signed Less Than or Equal) 有符号比较，小于等于 (Z = 1 | N != V)

• AL: (Always) 无条件，默认值

• NV: (Never) 从不执行

6. 移位操作（LSL、ASL、LSR、ASR、ROR、RRX）

移位操作在ARM指令集中不作为单独的命令使用，它在指令格式中是一个字段。接下来将会介绍一下各种移位操作。如果你之前学过“数字电路”这门课的话，那么你肯定对这些移位操作并不陌生。

(1)、LSL ---- 逻辑左移（Logical Shift Left）与 ASL ---- 算术左移 (Arithmetic Shift Left)

逻辑左移与算术左移的操作是一样的，都是将操作数向左移位，低位补零，移除的高位进行丢弃。接下来我们来看一个示例，根据这个示例来看一下LSL或者ASL的工作方式。

MOV  R0, #5

MOV  R1, R0, LSL #2

上述命令，就是将5存储到R0寄存器上（R0 = 5）, 然后将R0逻辑左移2位后传送到R1寄存器中。十进制5的二进制数值是0101，进行逻辑左移2位就是0001_0100, 也就是十进制中的20。其实没逻辑左移1位就相当于原数值进行乘2操作，5逻辑左移2位其实就是5 x 2^2 = 20。下方是该操作的原理图

(2)、LSR ---- 逻辑右移(Logical Shift Right)

逻辑右移与逻辑左移是相对的，逻辑右移其实就是往右移位，左边补零。用法与LSL类似，在此就不做过多赘述了。

(3)、ASR ---- 算术右移(Arithmetic Shift Right)

ASR与LSR类似，唯一不同的是，LSR的高位补零，而ASR的高位补符号位。符号位为1，那么就补1，符号位为0那么就补零。

(4)、ROR ---- 循环右移(Rotate Right)

循环右移，见名知意，就是循环着往右移动，右边移除的位往高位进行填补。