从arm64反编译代码时,如何知道无条件分支指令
b最先进的反编译器如何识别分支目标是否仍在函数中还是一个新函数?他们是否依赖分支目标的值并查看它是否落在
TEXT我可能会补充一点,我现在正在检查的目标二进制文件是用 Objective-C 编写的 Machos,并且我尝试使用 Ghidra 验证我的发现,因此它可能会使用更多启发式方法,例如查看跳转目标是否在
__stubs部分或__objc_stubs从arm64反编译代码时,如何知道无条件分支指令b是否分支到同一函数中的标签而不是其他函数?
你无法真正知道。您最多只能做出有根据的猜测。根据我的经验,即使是最先进的反编译器在这方面也很糟糕。好的允许用户手动覆盖此类检测。
核心问题是在汇编层面没有“函数”的概念。导出到 C 等高级语言的标签应该符合特定的 ABI,但对于其他任何东西,一切都是不可能的。即使是导出的东西,如果您遇到恶意作者(考虑:恶意软件),那么他们也可能会选择破坏此合同,以掩盖二进制文件的工作原理。但即使使用非恶意二进制文件,如果有人使用 Apple 支持的
-O3 -flto -moutline您可以使用一些启发式方法:
x30 是否已保存在某处?
通常这会通过
stp x29, x30, [sp, ...]spb假设:x30 用作链接寄存器。混淆器可以使用其他东西,例如通过
adr x17, ...; b _funcx17当前地址和跳转目标之间是否有函数?
也许你的二进制文件有符号,也许LC_FUNCTION_STARTS,也许你的反编译已经识别出功能单元等等
假设:函数的所有基本块都彼此相邻,并且不会分散和分散。通常情况就是这样,但同样,这种假设可以作为混淆技术的一部分被打破。
跳转目标是否从其他函数跳转到?
如果您已经确定代码中存在其他调用点属于不同的函数,则跳转目标不能属于这些函数中的任何一个。
注意:功能概述,请参阅下一点。
被调用的代码是否维护您期望从函数中输入和输出的 ABI?
ABI 违规应该很容易确定。 ABI 一致性需要诸如显式寄存器溢出之类的东西来给您信心。但如果它符合预期的 ABI,那么它很可能是它自己的函数。如果不是,那么可能是跳转到它的函数的一部分,或者是概述的代码。
但这些都不能保证一定会成功,而且总会有两种选择都可行的情况。