为什么要对ipa包重签名？如果是非越狱手机，你会发现从第三方商店下载的非企业证书分发的ipa包无法安装到手机上，也就无法实现动态调试。这时候我们可以对ipa包重签名，用来运行在自己的手机上，在进行重签名之前，首先要了解🍎是如何签名的

上图即是整个苹果对项目安装到手机上的加密流程。在这整个流程中，用到了两对公/私钥，图中的私钥2是存在于苹果服务器，公钥2则内置在每一台手机中

公钥1其实就是证书请求文件(csr文件)，公钥1是通过私钥1产生的，通过openssl命令可以查看这个证书请求文件，可见使用的是RSA加密算法，并对这个公钥做了sha256信息摘要。在开发者网站上，我们通过CSR文件向🍎请求证书，🍎则通过私钥2对这个文件进行加密生成了证书。证书中包含了公钥1和对应的hash值。下载下来证书后双击安装，Mac电脑中的私钥会和下载下来的证书相关联，这时候会在钥匙串中看到对应的私钥。然后在通过Xcode打包的时候，使用私钥1对这个二进制文件进行加密，同时使用到的证书也被打包到ipa文件中。在手机进行安装前，会首先用公钥2对证书进行解密，通过解密拿到证书中的公钥1，由于需要安装的二进制文件是通过私钥1加密的，所以使用公钥1进行解密，这个流程可以确保手机安装的app都是通过苹果授权允许的，从而确保了安全性

上述流程其实还存在问题，如果申请了一个证书，那就可以安装所有的app,导致应用的滥用安装。🍎又通过了描述文件（mobileprovision),描述文件也是向🍎请求所得，文件中包含了设备唯一标示、项目的Bundle iD、权限文件等，打包时会一并打包进去，这时候经常会出现问题，如设备ID没有注册、项目Bundle Id不对等。手机安装前会判断当前设备iD是否已注册，Bundle Id是否正确等。Mac电脑中可以通过Security命令查看描述文件内容，Security是Mac系统中钥匙串和安全模块的命令行管理工具，（图形化工具为Keychain Access.app）。钥匙串（Keychain）实质上就是一个用于存放证书、密钥等安全认证实体的仓库，使用时不需要写路径，直接用文件名即可，Security工具会自动搜索。由上图可见，描述文件其实是一个XML文件，拷贝放到Xcode,新建一个Plist文件打开，可以很清楚的看到，文件中包含创常见时间、失效时间、注册的设备数、每台设备的设备Id、团队名称等。在ipa包中可以看到这个描述文件(embedded.mobileprovision)

上述则是🍎整个签名流程。如果我们获取到ipa包想安装到自己的手机上进行动态调试，就需要我们自己给这个包进行重签名，下面粗略介绍三种签名方法，其实是一种签名方法的三种形式。之前提到过，也可以直接使用Monkey Dev就可以完成整个过程,省去我们繁琐的重签名，但毕竟Monkey Dev属于第三方工具，我们有必要去了解实践整个重签流程。以前使用iOS App Signer工具也可以重签，现在也已经签不成功

一.手动重签

通过PP助手首先下载一个ipa包，相当于一个zip包，解压出来, 使用codesign命令可以查看这个ipa包的签名信息

也可以通过otool命令查看可执行文件的加密信息

• 1 这里以微信为例，删除插件Plugins文件夹里面的内容，个人证书无法对插件重签

• 2 直接删除Watch文件夹

• 3 对 Frameworks 进行签名，要使用Xcode正在使用的证书进行重签

查看本地所有可用证书

对Framework进行重签

• 4 给可执行文件添加执行权限

  chmod +x 可执行文件名

• 5 将当前工程的描述文件拷贝到目标文件中

• 6 修改info.plist 的Bundle Id

• 7 生成plist的权限文件

查看第五步中的描述文件

将其中的权限文件部分复制出来，即下图圈起来的部分，通过Xcode创建空的plist文件，将权限文件转成plist文件

然后将这个权限文件放到WeChat.app同级目录下

• 8 签名整个App

• 9 生成ipa文件

将WeChat.app替换掉Payload中的WeChat.app文件，压缩成ipa文件

• 10 安装到手机

注意，ipa包重签是一个和🍎博弈的过程，有些ipa包可能用此方法并不能重签成功

上面用到了几个常用命令

查看描述文件信息:

security cms -D -i 描述文件路径

查看app的签名信息

codesign -vv -d app路径

查看本机所有可用证书

security find-identity -v -p codesigning

查看可执行文件的加密信息

otool -l 可执行文件路径 | grep crypt

对Framework重签

codesign -fs "证书" 需要签名的文件路径

二.使用Xcode重签

• 1 新建一个空工程，编译，将微信越狱包替换掉编译后的包

• 2 依然需要对ipa包中的Framrworks进行重签

• 3 修改info.plist中的Bundle Id为这个空工程的Bundle Id

• 4 对包中的可执行文件赋予可执行权限

  chmod +x 可执行文件路径

• 5 依然需要删除Plugins文件夹和Watch文件夹

• 6 重新编译工程即可

三.使用脚本自动重签

知道了重签的流程，就可以使用脚本来流程化这个操作

• 1.新建一个空工程，模仿Monkey Dev来操作，先在根目录下建一个文件夹APP来承接要重签名的ipa包

• 2.然后新建一个Run Script，脚本的整个流程其实就是对ipa进行解压，将.app文件替换掉当前空工程打包的文件，然后将.app文件中的Plugins及Watch文件夹删除，重签Framework和修改Info.plist中的Bundle Id

• 3.重新运行即可

或者直接输入脚本路径

脚本内容如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

TEMP_PATH="${SRCROOT}/Temp"
ASSETS_PATH="${SRCROOT}/APP"
TARGET_IPA_PATH="${ASSETS_PATH}/*.ipa"
rm -rf "${SRCROOT}/Temp"
mkdir -p "${SRCROOT}/Temp"

unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"
TEMP_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app;echo "$1")

TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"

rm -rf "$TARGET_APP_PATH"
mkdir -p "$TARGET_APP_PATH"
cp -rf "$TEMP_APP_PATH/" "$TARGET_APP_PATH"

rm -rf "$TARGET_APP_PATH/PlugIns"
rm -rf "$TARGET_APP_PATH/Watch"

/usr/libexec/PlistBuddy -c "Set :CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"

APP_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`
chmod +x "$TARGET_APP_PATH/$APP_BINARY"

TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"
if [ -d "$TARGET_APP_FRAMEWORKS_PATH" ];
then
for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*
do

/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"
done
fi

AutoSignature

如有任何疑问或问题请联系我:fishnewsdream@gmail.com,欢迎交流，共同提高！

Objective-C/Swift技术开发交流群201556264，讨论何种技术并不受限，欢迎各位大牛百家争鸣！

微信公众号OldDriverWeekly，欢迎关注并提出宝贵意见

老司机iOS周报,欢迎关注或订阅

刚刚在线工作室，欢迎关注或提出建设性意见！

刚刚在线论坛, 欢迎踊跃提问或解答！

如有转载，请注明出处，谢谢！

密码学是研究编制密码和破译密码的技术科学。密码是通信双方按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则，变明文为密文，称为加密变换；变密文为明文，称为脱密变换。密码在早期仅对文字或数码进行加、脱密变换，随着通信技术的发展，对语音、图像、数据等都可实施加、脱密变换

在iOS环境中，粗略介绍几种编码格式、摘要算法和加密规则

一.base64编码(可解码)

base64可以反编译，一般需要加密的信息不会使用base64编码,因为编码算法完全公开，很容易就会被破解。到是一些诸如用户名这种不需要加密但是可能也并不想被一眼看出来的信息，可以使用base64进行编码

base64 要求把每三个8Bit 的字节转换为四个6Bit 的字节，然后6Bit的两个高位置0 ，组成四个8Bit 的字节，转换后的字符串理论上将要比原来的长1/3

编码后的数据是一个字符串，其中包含的字符为：A-Z、a-z、0-9、+、/, 共64个字符：26 + 26 + 10 + 1 + 1 = 64

其实是65个字符，“=”是填充字符，用来表示添加的零值字节数，因为如果数据的字节数不是3的倍数，则其位数就不是6的倍数，那么就不能精确地划分成6位的块，此时，需在原数据后面添加1个或2个零值字节，使其字节数是3的倍数

二. 哈希(散列函数)(不可反算)

• MD5

• SHA1、HMAC_SHA1

• SHA256(512)、HMAC_SHA256(512)

散列函数其实是一种信息摘要算法，并不是加密算法。它有一些独特的特性

MD5特点:

• 压缩性 : 任意长度的数据,算出的MD5值长度都是固定的(32位)
• 容易计算 : 从原数据计算出MD5值很容易
• 抗修改性 : 对原数据进行任何改动，哪怕只修改一个字节，所得到的MD5值都有很大区别(信息摘要)
• 强抗碰撞 : 想找到两个不同数据，使他们具有相同的MD5值(即伪造数据)，是非常困难的

但是正是因为同一条数据算出的MD5的值是固定的，所以如果把已知的词条和对应词条的HASH值收集起来，从而就可以进行查询得到。网上有一套数据库http://cmd5.com可以根据密文查到许多MD5的词条

正因为直接一个字符串进行MD5很容易被破解，所以有了一个改进方法：加盐

加盐（Salt）：这个盐是一个写在本地的固定字符串，拼接在明文的固定位置，然后再对拼接后的字符串进行MD5,这样就极大增加了破解的难度，即便被破解了，得到的字符串也是加盐后的字符串，无法拿到原始数据。但是，现在http://cmd5.com这个网站针对MD5做了各种各样的破解，各种加盐、对盐做MD5等等。再加上这个盐是写在本地的，一旦被泄露就不得不更换，而更换后就会对老版本产生影响，所以加盐这种做法现在也并不常用

HMAC : 另一个加密算法HMAC现在被广泛使用，HMAC运算利用哈希算法，以一个密钥和一个消息为输入，生成一个消息摘要作为输出,有HMAC_SHA1、HMAC_SHA256、HMAC_SHA512等算法，与SHA1、SHA256、SHA512等算法相比，HMAC需要一个密钥,而非HMAC不需要

HMAC是使用一个密钥加密，做两次散列，而这个密钥从服务器获取。 诸如在做登录操作前，注册账号的的时候，服务器会根据账号随机生成一个密钥，和账号对应，并把密钥返还给客户端，客户端把密钥保存在本地(KeyChain)。而在输入密码后则对密码使用密钥做了一次HMAC的加密传给服务器，服务器则保存的是一个加密后的字符串。如果选择记住密码重新登录你会发现密码长度可能和真实密码长度并不一致，其实这只是个占位符而已

如果，换了一台设备，本地自然没有密钥，这样在登录的时候需要先返回这个账号对应的密钥，然后用密钥对账号做HMAC的加密传给服务器,这中间多了一部向服务器获取密钥的过程，有些APP换了设备第一次登录的时候有些慢，原因正是如此

如果随便换一台设备就可以根据账号向服务器获取密钥，那在知道账号的情况下，就可以获取到相应的密钥了，这并不安全，于是就有了设备锁。当换了一台设备的时候，服务器并不会马上返回密钥，而是会询问之前的设备，是否同意返回密钥，同意之后才会返回，QQ设备锁逻辑正是如此

还有一种危险的情况，黑客可能不需要知道你的密钥和密码，她只需要知道你的账号，并且截取你的密码加密后传输的字符串，就可以模拟你的登陆过程。之前是使用(密码.HMAC).md5这种方式，为了更安全起见，这时候需要加一个时间标识，这个时间标识可以从服务器获取，注意，这不是时间戳，只具体到分钟，比如20180623，现在就变成了(密码.HMAC+时间标识).md5，将这个字符串传给服务器，服务器会根据当前时间以同样的算法进行比对，因为可能时间分钟之间出现临界点或者超时之类的，在根据当前时间比对不成功时会以前一分钟为时间标识再比对一次，如果成功则算登陆成功，如果还不成功则登录失败，这给请求添加了时效性。理论上即便如此黑客也依然可以模拟登陆过程，这只是加大了破解的难度，归根结底，这也是一个双方博弈的过程

iOS7.0.3之后，可以使用钥匙串(KeyChain:AES加密)记住密码,保存的其实是加密后的字符串。以前有不少App都有找回密码的功能，这其实是因为服务端记住了用户的明文密码，不敢细想。而现在几乎没有App还保留这个功能，找回密码基本都是重新设置

iPhone5S开始推出了指纹识别，iOS8.0之后🍎允许App使用Touch ID进行验证, 但是部分场景必须进行密码校验

• 开机/重启

• 超过 48 小时未解锁设备

• 设备收到了远程锁定命令

• 五次未能成功匹配指纹

• 进入Touch ID设置模块或更新指纹

除此之外，使用哈希算法，也还有其他用途

版权维护

比如有张原创作品（origin.png）

打开后我重新截图（pirate），外观上没有任何变化，观察他们的md5值

可以发现，截屏后的md5值完全不一样，即便改成相同的名称也完全不一样。事实上是对二进制数据进行md5值，截屏后已经是完全不同的二进制文件,自然如果压缩了该文件，md5值自然也会随之改变。值得注意的是，直接复制其实就是复制二进制文件，md5值不会改变，单纯改变文件格式md5值也依然不会改变

云盘文件上传

文件上传时可以注意到，如果云盘上已经有了该文件，你会发现文件秒传成功。原因是什么呢？ 是因为服务器上查询到有相同的md5值与该文件的md5值相同，则默认云盘上已经有了该文件

还有，云盘上经常会封杀一些小视频(少儿不宜)，是根据什么来和谐的呢？自然也是根绝md5的值来判断。会有专门的鉴别人员，对一些视频做出鉴别后确认这些视频需要和谐掉，并且记录这些视频的md5的值，那么云盘上但凡md5值相同的都会被和谐掉

三.对称加密算法(传统加密算法)

• DES

• 3DES

• AES(高级密码标准，美国国家安全局使用)

对称加密算法是使用密钥把明文加密变成密文，对密文解密变成明文，使用的是同一个密钥

DES：现在使用的已非常少，因为强度不够

3DES：使用的也非常少，因为密钥的保密非常重要，而这种算法却使用了3个密钥进行加密

AES：目前使用最多，加密强度也非常大，自然非常难破解

对称加密算法有两种加密方式 ：ECB(电子代码本)和CBC(密码块链)

ECB:把一个数据拆分成若干个数据包，对每一个数据进行独立加密然后再进行拼接

CBC:使用一个密钥和一个初始化向量(IV)对数据进行加密，也是把数据拆分成若干数据块，对每一块数据加密都要依赖上一个数据块，这可以保证数据的完整性

也就是说如果一块数据只修改了其中的一小部分，如果使用ECB加密，那密文相对于原先的密文就只有修改的这部分会改变，如果使用的CBC加密，则从当前数据块开始之后的所有数据的密文都会改变

加密解密用的是同一个函数CCCrypt,而这个函数有11个参数

/**
  *  @param kCCEncrypt     加密/解密
  *  @param self.algorithm 加密算法
  *  @param option         CBC/ECB
  *  @param cKey           加密密钥
  *  @param self.keySize   密钥长度
  *  @param cIv            iv初始化向量
  *  @param bytes]         加密的数据
  *  @param length]        加密的数据长度
  *  @param buffer         密文的缓冲区
  *  @param bufferSize     缓冲区的大小
  *  @param encryptedSize  加密结果的大小
  */
 CCCryptorStatus cryptStatus = CCCrypt(kCCEncrypt,
                                       self.algorithm,
                                       option,
                                       cKey,
                                       self.keySize,
                                       cIv,
                                       [data bytes],
                                       [data length],
                                       buffer,
                                       bufferSize,
                                       &encryptedSize);

四.非对称加密算法(现代加密算法)

• RSA(三个人名首字母)

非对称加密算法是使用公钥加密私钥解密，使用私钥加密公钥解密，私钥只有一个，但是可以对应多个公钥

RSA加密过程比较缓慢，效率比较低，不宜对大文件进行机加密,一般RSA和AES配合使用,AES对数据本身进行加密解密，RSA对AES的密钥进行加密

对数字的md5值进行RSA签名就是常说的数字签名，用来验证数字是否被修改

使用RSA加密需要的是crt和p12文件

EncryptionDemo

如有任何疑问或问题请联系我:fishnewsdream@gmail.com,欢迎交流，共同提高！

Objective-C/Swift技术开发交流群201556264，讨论何种技术并不受限，欢迎各位大牛百家争鸣！

微信公众号OldDriverWeekly，欢迎关注并提出宝贵意见

老司机iOS周报,欢迎关注或订阅

刚刚在线工作室，欢迎关注或提出建设性意见！

刚刚在线论坛, 欢迎踊跃提问或解答！

如有转载，请注明出处，谢谢！

LLDB是个开源的内置于XCode中的调试器，Xcode5之后，LLDB取代了GDB. 它与LLVM编译器一起，存在于主窗口底部的控制台中，LLDB丰富的流程控制，在调试过程中作用显著

断点设置

设置断点
breakpoint set -n "xxx"

断点禁用
breakpoint disable 组号

删除断点
breakpoint delete 组号

命令简写

在断点处添加其他指令
    breakpoint commond add 断点组号

删除断点处添加的指令
breakpoint commond delete 断点组号

执行代码

查看视图层级

修改代码

执行多行代码
注意，多行代码换行时需同时按住control键+enter键

获取变量
注意，变量获取默认为id类型，需要强转

查看页面结构
po [self.view.window recursiveDescription]

查看堆栈信息

查看函数调用栈
bt

跳转到函数栈中的上/下一个函数
up/down
frame selector 方法标号

查看当前函数的变量
frame variable

代码回滚(回到函数调用处)
thread return

内存断点

对属性打断点
watchpoint set variable 变量

通过内存地址打断点
watchpoint set expresion 内存地址    

target stop-hook

在每一个stop(断点)处去执行一些命令，只对代码断点(breakpoint)和内存断点(watchpoint)生效,通过Pause program execution和Debug View Hierarchy触发的stop无效

hook住每一个断点，添加相应指令
target stop-hook add -o "指令"

lldb配置文件(.lldbinit)

在用户目录下有个配置文件.lldbinit,没有可新建，在配置文件中可以添加相关指令，这样在每次启动项目后每一处断点都会执行该指令

image指令

ASLR (Address Space Layout Randomization)，即地址空间随机布局,动态分配,程序运行才有,是一种针对缓冲区溢出的安全保护技术，通过对堆、栈、共享库映射等线性区布局的随机化，通过增加攻击者预测目的地址的难度，防止攻击者直接定位攻击代码位置，达到阻止溢出攻击的目的的一种技术

Mach-O文件的文件头会记录二进制的属性标识，有个flag叫做PIE (Position Independent Enable),开启了PIE的二进制文件，在执行时会产生ASLR

通过内存地址查看代码崩溃处
image lookup -a 内存地址

查看类的头文件信息
image lookup -t 类名

如有任何疑问或问题请联系我:fishnewsdream@gmail.com,欢迎交流，共同提高！

Objective-C/Swift技术开发交流群201556264，讨论何种技术并不受限，欢迎各位大牛百家争鸣！

微信公众号OldDriverWeekly，欢迎关注并提出宝贵意见

老司机iOS周报,欢迎关注或订阅

刚刚在线工作室，欢迎关注或提出建设性意见！

刚刚在线论坛, 欢迎踊跃提问或解答！

如有转载，请注明出处，谢谢！

class-dump是用来dump目标文件的类信息的工具。它利用Objective-C语言的runtime特性，将存储在mach-O文件中的@interface和@protocol信息提取出来，并生成对应的.h文件

安装class-dump

class-dump官网

下载后将class-dump 复制到/usr/bin/class-dump。如果是OS X 10.11，因为没有/usr/bin文件夹的写权限，所以将class-dump复制到/usr/local/bin/class-dump即可。执行命令赋予其执行权限：

1

sudo chmod 777 /usr/local/bin/class-dump

放到/usr/bin目录下会发现系统管理员也没有权限进行写操作，是因为由于系统启用了SIP（System Integerity Protection）导致root用户也没有修改权限，如果需要屏蔽掉这个功能，具体做法是：

• 1.电脑重启按住command+R，进入恢复模式

• 2.打开终端，输入csrutil disable，重启即可

• 3.如果想打开SIP，重复上两步，命令改为csrutil enable

对于/sbin、/bin、/usr/sbin、/usr/bin、/usr/local/bin、/usr/local/sbin这些目录的区别，直接摘抄引用

所有用户皆可用的系统程序放在/bin

超级用户才能使用的系统程序放在/sbin

所有用户都可用的应用程序放在/usr/bin

超级用户才能使用的应用程序放在/usr/sbin

所有用户都可用的与本地机器无关的程序存放在/usr/local/bin

超级用户才能使用的与本地机器无关的程序存放在/usr/local/sbin

由于我之前安装了MonkeyDev，而MonkeyDev内部集成了class-dump，所以可以直接使用，class-dump是放在/opt/MonkeyDev/bin的目录下

使用class-dump

官网上已给出相关用法

以微信和支付宝为例，首先要拿到越狱包，我这里是从pp助手下载，如果是非越狱包要先砸壳再dump

打来越狱包，显示包内容，找到可执行文件

dump出来的头文件大概有一万多个，直接拖到Xcode可能会比较卡，我这里直接拖到Sublime，
有时class-dump指令会执行失败，无法得到想要的头文件或者只有CDStructures文件，出现这种情况是因为class-dump的作用对象必须是未经加密的
可执行文件，经过签名加密的，这个时候需要先进行砸壳

MachO(Mach Object)文件

上面dump用到的可执行文件就是MachO文件的一种，官方介绍共有11种格式，是Mac OS X\iOS 上用于记录可执行文件、对象代码、共享库、动态加载代码和内存转储的文件格式

常见格式:

• 1.可执行文件
• 2.objcet
  • .o 文件(目标文件)
  • .a 静态库文件(是N个.o文件的集合)
• 3.DYLIB: 动态库文件
  • dylib
  • framework
• 4.动态链接器(dynamic linker,专门用来加载动态库)
• 5.dSYM (用来保存16进制函数地址映射信息的中转文件)

.o文件

.a文件

dylib

framework

dSYM

动态链接器

通用二进制文件

通用二进制文件，也叫做胖MachO文件。MachO文件是包含一种架构（i386、x86_64、arm64等)的对象文件，而胖文件可能包含若干不同架构（i386、x86_64、arm、arm64 等)的对象文件。

通过ida可打开指定架构的可执行文件

瘦身

lipo 可执行文件 -thin armv7 -output MachO_armv7

lipo 可执行文件 -thin armv64 -output MachO_armv64

整合

lipo -create 可执行文件armv7 可执行文件arm64 -output 可执行文件

MachOView

下载

MachOView可以用来查看MachO的文件格式信息，使用Mac自带的otool其实也可以查看，这里以微信为例

使用MachOView可以可视化查看MachO文件的内部信息，但是这个软件相当占内存

通过上图可以看到，MachO文件具体可以分为几个部分

• 文件头 Mach64 Header
• 加载命令 Load Commands
• 代码段 __TEXT
• 数据段 __DATA
• 动态库加载信息 Dynamic Loader Info
• 入口函数 Function Starts
• 符号表 Symbol Table
• 动态库符号表 Dynamic Symbol Table
• 字符串表 String Table

Mach64 Header文件中，各字段含义

ida工具获取到的方法地址，其实是通过MachOView分析macho文件得到的

如有任何疑问或问题请联系我:fishnewsdream@gmail.com,欢迎交流，共同提高！

Objective-C/Swift技术开发交流群201556264，讨论何种技术并不受限，欢迎各位大牛百家争鸣！

微信公众号OldDriverWeekly，欢迎关注并提出宝贵意见

老司机iOS周报,欢迎关注或订阅

刚刚在线工作室，欢迎关注或提出建设性意见！

刚刚在线论坛, 欢迎踊跃提问或解答！

如有转载，请注明出处，谢谢！

将汇编代码还原成高级代码

使用工具ida 或 hopper,我这里使用的是ida,ida有64位和32位两个版本，这里使用64位

将编译包拖到ida中，按住control+滚动鼠标可控制窗口大小

funcAdd函数

一步一步粗略转换成OC语言

int var4 = wo;
int var8 = w1;
printf("test") // 获取常量test
int global = x30; // 全能局变量
int w1 = var4;
int w8 = var8;
int w8 = w1 + w8;
int w1 = x30;
int w8 = w8 + w1;
int varc = wo;
return x8

自下而上逐渐精简最后变为

printf("test") // 获取常量test
return var4 + var8 + global;

可见这个funcAdd函数是一个含有两个基础类型变量返回值也为基础类型的一个函数

还原高级代码的过程，通常并不知道参数类型，这要参照上下文及使用到的寄存器来粗略判断

还原后要判断还原的是否正确可以将还原后的包拖到ida中，查看汇编代码和还原前的是否的一致

常用标识指令

CMP 把一个寄存器的内容和另一个寄存器的内容或立即数进行比较。但不存储结果，只是正确的更改标志。一般CMP做完判断后会进行跳转，后面通常会跟上B指令

• BL 标号：跳转到标号处执行
• B.GT 标号：比较结果是大于（greater than），执行标号，否则不跳转
• B.GE 标号：比较结果是大于等于（greater than or equal to），执行标号，否则不跳转
• B.EQ 标号：比较结果是等于，执行标号，否则不跳转
• B.HI 标号：比较结果是无符号大于，执行标号，否则不跳转

if语句

int global = 16;

void function(int a, int b) {
    if (a > global) {
        global = a;
    } else {
        global = b;
    }
}

int main(int argc, char * argv[]) {
    function(10, 20);
}

循环

do while循环

int sum = 0;
int i = 0;
do {
    sum += i;
} while (i < 100);

while循环

int sum = 0;
int i = 0;
while (i < 100) {
sum += i;
}

for循环

 for (int i = 0; i < 100; i++) {
    printf("hello world");
}

switch循环

• 在switch语句的分支比较少的时候（少于4的时候没有意义）没有必要使用此结构，相当于if
• 各个分支常量的差值较大的时候，编译器会在效率还是内存进行取舍，这个时候编译器还是会编译成类似于if，else的结构
• 在分支比较多的时候：在编译的时候会生成一个表（跳转表每个地址四个字节）

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

void func (int a) {
	switch (a) {
		case 1:
			printf("this is one");
		break;
		case 2:
			printf("this is two");
		break;
		case 3:
			printf("this is three");
		break;
		default:
			printf("this is else");
		break;
		}
	}
	

int main(int argc, char * argv[]) {
	func(2);
}

void func (int a) {
    switch (a) {
        case 1:
            printf("this is one");
            break;
        case 2:
            printf("this is two");
            break;
        case 3:
            printf("this is three");
            break;
        case 4:
            printf("this is four");
            break;
        case 5:
            printf("this is five");
            break;
        default:
            printf("this is else");
            break;
    }
}

int main(int argc, char * argv[]) {
    func(6);
}

编译器优化

上面看到的这些汇编代码，都是在DEBUG调试状态下的代码，可以发现会有很多冗余代码，寄存器和内存的各种读取等，其实在RELEASE模式下🍎对我们的汇编代码做了一层优化，如果想在DEBUG模式下也做一层优化需要额外设置

测试代码

int main(int argc, char * argv[]) {
    int a = 10;
    int b = 20;
    int c = a + b;
    NSLog(@"%d",c);

    @autoreleasepool {
        return UIApplicationMain(argc, argv, nil, NSStringFromClass([AppDelegate class]));
    }
}

优化前

优化后

寄存器与多线程

注意，寄存器的读写其实是线程不安全的，但是，我们的操作系统在切换线程的时候，对当前线程在使用的寄存器进行了一层保护，操作系统内部有一个结构体，记录在使用的寄存器状态，当再次线程切换回来的时候会去获取使用到的寄存器的值。而这一切操作系统已经帮我们搞定了，不需要人为干预

指针相关

编译器决定了指针不能做乘法和除法。指针加减的结果，其实就是由针指向的数据类型宽度决定的，它的运算单位是数据类型的宽度

int main(int argc, char * argv[]) {
    int *a;
       int b = 6;
    a = &b;
    }
}

int main(int argc, char * argv[]) {
    char *a;
    char b = *a;
    return 1;
}

如有任何疑问或问题请联系我:fishnewsdream@gmail.com,欢迎交流，共同提高！

Objective-C/Swift技术开发交流群201556264，讨论何种技术并不受限，欢迎各位大牛百家争鸣！

微信公众号OldDriverWeekly，欢迎关注并提出宝贵意见

老司机iOS周报,欢迎关注或订阅

刚刚在线工作室，欢迎关注或提出建设性意见！

刚刚在线论坛, 欢迎踊跃提问或解答！

如有转载，请注明出处，谢谢！

求婚视频点这里

感谢所有参与的朋友

没参与的也依然感谢

见证了我们这些年的风雨历程

因视频大小衔接顺畅等考虑，个别录屏没有纳入，跪求理解

凡事总有非异，尽管这更多只是一种仪式

人生也许本来就没有意义

但正是因为有了仪式

它能给一个普通的日子、无意义的动作、不起眼的一件小事赋予深刻的内涵

在逝去的无数日夜里，所做的那些充满仪式感的事，就已为我们标定了生活的意义

也许这种形式并不那么好，但总比懒得走过场要好的多

生活也许很操蛋，但姿势一定要好看

非常感谢🍻🍻🍻

机器语言

由0和1组成的机器指令.

• 加：0100 0000
• 减：0100 1000
• 乘：1111 0111 1110 0000
• 除：1111 0111 1111 0000

汇编语言(assembly language)

使用助记符代替机器语言
如:

• 加：INC EAX 通过编译器 0100 0000
• 减：DEC EAX 通过编译器 0100 1000
• 乘：MUL EAX 通过编译器 1111 0111 1110 0000
• 除：DIV EAX 通过编译器 1111 0111 1111 0000

高级语言（High-level programming language)

C\C++\Java\OC\Swift,更加接近人类的自然语言
比如C语言:

• 加：A+B 通过编译器 0100 0000
• 减：A-B 通过编译器 0100 1000
• 乘：A*B 通过编译器 1111 0111 1110 0000
• 除：A/B 通过编译器 1111 0111 1111 0000

我们的代码在终端设备上是这样的过程:

• 汇编语言与机器语言一一对应，每一条机器指令都有与之对应的汇编指令
• 汇编语言可以通过编译得到机器语言，机器语言可以通过反汇编得到汇编语言
• 高级语言可以通过编译得到汇编语言 \ 机器语言，但汇编语言 \ 机器语言几乎不可能还原成高级语言

汇编语言的特点

• 可以直接访问、控制各种硬件设备，比如存储器、CPU等，能最大限度地发挥硬件的功能

• 能够不受编译器的限制，对生成的二进制代码进行完全的控制

• 目标代码简短，占用内存少，执行速度快

• 汇编指令是机器指令的助记符,同机器指令一一对应。每一种CPU都有自己的机器指令集 \ 汇编指令集，所以汇编语言不具备可移植性

• 知识点过多，开发者需要对CPU等硬件结构有所了解，不易于编写、调试、维护

• 不区分大小写，比如mov和MOV是一样的

汇编的用途

• 编写驱动程序、操作系统
• 对性能要求极高的程序或者代码片段，可与高级语言混合使用（内联汇编）
• 软件安全
  • 病毒分析与防治
  • 逆向 \ 加壳 \ 脱壳 \ 破解 \ 外挂 \ 免杀 \ 加密解密 \ 漏洞 \ 黑客
• 理解整个计算机系统的最佳起点和最有效途径
• 为编写高效代码打下基础
• 弄清代码的本质
  • 函数的本质究竟是什么?
  • ++a + ++a + ++a 底层如何执行的?
  • 编译器到底帮我们干了什么?
  • DEBUG模式和RELEASE模式有什么关键的地方被我们忽略
  • ……

可见了解汇编语言好处良多，尽管它有些晦涩难懂

汇编语言的种类

• 目前讨论比较多的汇编语言有

  • 8086汇编（8086处理器是16bit的CPU）
  • Win32汇编
  • Win64汇编
  • ARM汇编（嵌入式、Mac、iOS）
  • ……

• iPhone里用到的是ARM汇编,但是不同的设备也有差异，因CPU的架构而异

必要常识

• 学习汇编,首先需要了解CPU等硬件结构
• APP/程序的执行过程

• 硬件相关最为重要是CPU/内存
• 在汇编中,大部分指令都是和CPU与内存相关的

总线

• 每一个CPU芯片都有许多管脚，这些管脚和总线相连，CPU通过总线跟外部器件进行交互
• 总线：一根根导线的集合
• 总线的分类
  • 地址总线
  • 数据总线
  • 控制总线

举个🌰

• 地址总线
  • 它的宽度决定了CPU的寻址能力
  • 8086的地址总线宽度是20，所以寻址能力是1M（ 2^20 ）
    (1M = 1024KB = 1024 * 1024Byte)

• 数据总线
  • 它的宽度决定了CPU的单次数据传送量，也就是数据传送速度
  • 8086的数据总线宽度是16，所以单次最大传递2个字节( 1Byte = 8Bit)的数据
• 控制总线
  • 它的宽度决定了CPU对其他器件的控制能力、能有多少种控制

算法演练

内存

• 内存地址空间的大小受CPU地址总线宽度的限制。8086的地址总线宽度为20，可以定位2^20 个不同的内存单元（内存地址范围0x00000~0xFFFFF），所以8086的内存空间大小为1MB

• 0x00000~0x9FFFF：主存储器。可读可写

• 0xA0000~0xBFFFF：向显存中写入数据，这些数据会被显卡输出到显示器。可读可写

• 0xC0000~0xFFFFF：存储各种硬件 \ 系统信息。只读

进制

学习进制的障碍

很多人学不好进制，原因是总以十进制为依托去考虑其他进制，需要运算的时候也总是先转换成十进制，仅仅是因为我们对十进制最熟悉，所以才转换.
每一种进制都是完美的,想学好进制首先要忘掉十进制，也要忘掉进制间的转换！

进制的定义

• 八进制由8个符号组成:0 1 2 3 4 5 6 7 逢八进一
• 十进制由10个符号组成:0 1 2 3 4 5 6 7 8 9逢十进一
• N进制就是由N个符号组成:逢N进一

如果十进制由10个符号组成: 0 1 3 2 8 A B E S 7 逢十进一，那这样1 + 1 就等于3，完全取决于定义规则

这样的目的何在?

传统我们定义的十进制和自定义的十进制不一样.那么这10个符号如果我们不告诉别人这个符号表,别人是没办法拿到我们的具体数据的!可用于加密!

十进制由十个符号组成,逢十进一,符号是可以自定义的

进制的运算

八进制加法表

1
2
3
4
5
6
7
8
9
10
11
12

 0  1  2  3  4  5  6  7 
10 11 12 13 14 15 16 17
20 21 22 23 24 25 26 27
...

1+1 = 2						
1+2 = 3   2+2 = 4				
1+3 = 4   2+3 = 5   3+3 = 6
1+4 = 5   2+4 = 6   3+4 = 7   4+4 = 10  
1+5 = 6   2+5 = 7   3+5 = 10  4+5 = 11  5+5 = 12
1+6 = 7   2+6 = 10  3+6 = 11  4+6 = 12  5+6 = 13  6+6 = 14
1+7 = 10  2+7 = 11  3+7 = 12  4+7 = 13  5+7 = 14  6+7 = 15  7+7 = 16

八进制乘法表

1
2
3
4
5
6
7
8

0 1 2 3 4 5 6 7 10 11 12 13 14 15 16 17 20 21 22 23 24 25 26 27...
1*1 = 1						
1*2 = 2	  2*2 = 4				
1*3 = 3	  2*3 = 6	3*3 = 11	
1*4 = 4	  2*4 = 10	3*4 = 14  4*4 = 20
1*5 = 5	  2*5 = 12	3*5 = 17  4*5 = 24  5*5 = 31
1*6 = 6	  2*6 = 14	3*6 = 22  4*6 = 30  5*6 = 36  6*6 = 44
1*7 = 7	  2*7 = 16	3*7 = 25  4*7 = 34  5*7 = 43  6*7 = 52  7*7 = 61

二进制的简写形式

1
2
3
4
5

       二进制: 1 0 1 1 1 0 1 1 1 1 0 0
三个二进制一组: 101 110 111 100
       八进制:   5   6   7   4
四个二进制一组: 1011 1011 1100
     十六进制:    b    b    c

二进制：从0 写到 1111
0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111
这种二进制使用起来太麻烦，改成更简单一点的符号：
0 1 2 3 4 5 6 7 8 9 A B C D E F 这就是十六进制了

数据的宽度

数学上的数字，是没有大小限制的，可以无限的大。但在计算机中，由于受硬件的制约，数据都是有长度限制的（我们称为数据宽度），超过最多宽度的数据会被丢弃

1
2
3
4
5
6
7
8
9
10
11
12
13
14

#import <UIKit/UIKit.h>
#import "AppDelegate.h"

int test() {
    int cTemp = 0x1FFFFFFFF;
    return cTemp;
}

int main(int argc, char * argv[]) {
    printf("%x",test());
    @autoreleasepool {
        return UIApplicationMain(argc, argv, nil, NSStringFromClass([AppDelegate class]));
    }
}

拿到内存地址后，可以通过如下方法查看内存地址中的值，也可以直接通过快捷键Commond + Shift + M，在单步执行后(执行汇编语言时可以在控制台使用ni命令单步执行),内存地址中的值可能没有立刻改变，点击下一页再回来就可以看到变化

计算机中常见的数据宽度

• 位(Bit): 1个位就是1个二进制位.0或者1
• 字节(Byte): 1个字节由8个Bit组成(8位).内存中的最小单元Byte.
• 字(Word): 1个字由2个字节组成(16位),这2个字节分别称为高字节和低字节.
• 双字(Doubleword): 1个双字由两个字组成(32位)

那么计算机存储数据它会分为有符号数和无符号数.那么关于这个看图就理解了!

1
2

无符号数,直接换算!
有符号数:
正数:  0    1    2    3    4    5    6    7 
负数:  F    E    D    B    C    A    9    8
      -1   -2   -3   -4   -5   -6   -7   -8

寄存器 (均指的是arm64架构下)

CPU除了有控制器、运算器还有寄存器。其中寄存器的作用就是进行数据的临时存储。

CPU的运算速度是非常快的，为了性能CPU在内部开辟一小块临时存储区域，并在进行运算时先将数据从内存复制到这一小块临时存储区域中，运算时就在这一小快临时存储区域内进行。我们称这一小块临时存储区域为寄存器。

对于arm64系的CPU来说， 如果寄存器以x开头则表明的是一个64位的寄存器，如果以w开头则表明是一个32位的寄存器，在系统中没有提供16位和8位的寄存器供访问和使用。其中32位的寄存器是64位寄存器的低32位，并不是独立存在的。

内部部件之间由总线连接

• 对程序员来说，CPU中最主要部件是寄存器，可以通过改变寄存器的内容来实现对CPU的控制

• 不同的CPU，寄存器的个数、结构是不相同的

• ARM64架构下的寄存器，包括31个64位的通用寄存器 x0 到 x30,和SP, PC, CPSR寄存器及一些其他浮点寄存器等

  • w0~w28 这些是x0~x28的低32位, 因为64位CPU可以兼容32位.所以可以只使用64位寄存器的低32位.
  • 比如 w0 就是 x0的低32位!

• 通常，CPU会先将内存中的数据存储到通用寄存器中，然后再对通用寄存器中的数据进行运算

• 假设内存中有块红色内存空间的值是3，现在想把它的值加1，并将结果存储到蓝色内存空间

• CPU首先会将红色内存空间的值放到X0寄存器中：mov X0,红色内存空间
• 然后让X0寄存器与1相加：add X0,1
• 最后将值赋值给内存空间：mov 蓝色内存空间,X0

• 可以在控制台输入register read命令查看所有寄存器

• x0~ x30：通用寄存器，通常用来存放一般性的数据，xo~x7用于子程序调用时的参数传递，x0也用于返回值传递

• FP(X29): 保存栈帧地址(栈底指针)

• LR(x30): 也成为程序连接寄存器，用来保存子程序返回地址

• SP：在任意时刻会保存我们栈顶的地址

• PC:程序寄存器，总是指向即将要执行的下一条指令的地址

• CPSR: 状态寄存器，注意：状态寄存器是32位的

高速缓存

iPhoneX上搭载的ARM处理器A11它的1级缓存的容量是64KB，2级缓存的容量8M.

CPU每执行一条指令前都需要从内存中将指令读取到CPU内并执行。而寄存器的运行速度相比内存读写要快很多,为了性能,CPU还集成了一个高速缓存存储区域

当程序在运行时，先将要执行的指令代码以及数据复制到高速缓存中去(由操作系统完成).CPU直接从高速缓存依次读取指令来执行.

数据地址寄存器

数据地址寄存器通常用来做数据计算的临时存储、做累加、计数、地址保存等功能。定义这些寄存器的作用主要是用于在CPU指令中保存操作数，在CPU中当做一些常规变量来使用。
ARM64中

• 64位: X0-X30, XZR(零寄存器)
• 32位: W0-W30, WZR(零寄存器)

注意:8086汇编中有一种特殊的寄存器段寄存器:CS,DS,SS,ES四个寄存器来保存这些段的基地址,这个属于Intel架构CPU中.在ARM中并没有

浮点和向量寄存器

因为浮点数的存储以及其运算的特殊性,CPU中专门提供浮点数寄存器来处理浮点数

• 浮点寄存器 64位: D0 - D31 32位: S0 - S31

现在的CPU支持向量运算.(向量运算在图形处理相关的领域用得非常的多)为了支持向量计算系统了也提供了众多的向量寄存器.

• 向量寄存器 128位:V0-V31

pc寄存器(program counter)

• 为指令指针寄存器，它指示了CPU当前要读取指令的地址
• 在内存或者磁盘上，指令和数据没有任何区别，都是二进制信息
• CPU在工作的时候把有的信息看做指令，有的信息看做数据，为同样的信息赋予了不同的意义
  • 比如 1110 0000 0000 0011 0000 1000 1010 1010
  • 可以当做数据 0xE003008AA
  • 也可以当做指令 mov x0, x8

• CPU根据什么将内存中的信息看做指令？

  • CPU将pc指向的内存单元的内容看做指令
  • 如果内存中的某段内容曾被CPU执行过，那么它所在的内存单元必然被pc指向过

• 上面说过，汇编语言单步执行指令是ni,PC总是指向将要执行的指令，如果修改PC的值也就可以改变执行顺序，使用命令是register write pc 内存地址

栈

• 栈：是一种具有特殊的访问方式的存储空间（后进先出， Last In Out Firt，LIFO）

SP和FP(x29)寄存器

• sp寄存器在任意时刻会保存我们栈顶的地址.

• fp寄存器也称为x29寄存器属于通用寄存器,但是在某些时刻我们利用它保存栈底的地址

  注意:ARM64开始,取消32位的 LDM,STM,PUSH,POP指令! 取而代之的是ldr\ldp str\stp
  ARM64里面 对栈的操作是16字节对齐的!!

关于内存读写指令

注意:读/写 数据是都是往高地址读/写

str(store register)指令

将数据从寄存器中读出来,存到内存中.

ldr(load register)指令

将数据从内存中读出来,存到寄存器中

此ldr 和 str 的变种ldp 和 stp 还可以操作2个寄存器.

堆栈操作

使用32个字节空间作为这段程序的栈空间,然后利用栈将x0和x1的值进行交换.

sub    sp, sp, #0x20    ;拉伸栈空间32个字节

stp    x0, x1, [sp, #0x10] ;sp往上加16个字节的地址,存放x0 和 x1

ldp    x1, x0, [sp, #0x10] ;将sp偏移16个字节地址的值取出来,放入x1 和 x0

注意：断在bl指令出，使用s命令或者点击step into会直接跳到已经开辟好的栈顶地址处，需要按住control的同时再点击step into，这样才会跳到未开辟前的栈顶地址处

bl指令和ret指令

• CPU从何处执行指令是由pc中的内容决定的，我们可以通过改变pc的内容来控制CPU执行目标指令
• ARM64提供了一个mov指令（传送指令），可以用来修改大部分寄存器的值，比如
  • mov x0,#10、mov x1,#20

• 但是，mov指令不能用于设置pc的值，ARM64没有提供这样的功能

• ARM64提供了另外的指令来修改PC的值，这些指令统称为转移指令(相当于跳转)，最简单的是bl指令

• bl

  • 将下一条指令的地址放入lr(x30)寄存器
  • 转到标号处执行指令

• ret

  • 默认使用lr(x30)寄存器的值，通过底层指令提示CPU此处作为下条指令地址!

ARM64平台的特色指令,它面向硬件做了优化处理

x30寄存器存放的是函数的返回地址.当ret指令执行时刻,会寻找x30寄存器保存的地址值

注意:在函数嵌套调用的时候.需要将x30入栈，因为嵌套调用时x30寄存器的值会被覆盖，导致死循环

函数的参数和返回值及局部变量

ARM64下,函数调用会开辟一段空间，每个函数调用完毕之后，会将拉伸的栈空间平衡（将sp加回去）,函数的参数是存放在X0到X7(W0到W7)这8个寄存器里面的.如果超过8个参数,就会入栈，函数的局部变量放在栈中

函数的返回值是放在X0 寄存器里面的.

int sum(int a,int b) {
    return a + b;
}

int main(int argc, char * argv[]) { 
    sum(16, 32);
}

int sum(int a,int b,int c,int d, int e, int f, int g,int h,int i,int j) {
    return a + b + c + d + e + f + g + h + i + j;
}

int main(int argc, char * argv[]) {
    sum(16, 16 * 2, 16 * 3, 16 * 4, 16 * 5, 16 * 6, 16 * 7, 16 * 8, 16 * 9,16 * 10);
}

ARM64下部分常用汇编指令

MOV X1，X0 ;将寄存器X0的值传送到寄存器X1

ADD X0，X1，X2 ;寄存器X1和X2的值相加后传送到X0

SUB X0，X1，X2 ;寄存器X1和X2的值相减后传送到X0

AND X0，X0，#0xF ; X0的值与0xF相位与后的值传送到X0

ORR X0，X0，#0x9 ; X0的值与9逻辑或后的值传送到X0

EOR X0，X0，#0xF ; X0的值与0xF相异或后的值传送到X0

LDR X5，[X6，#0x08] ；X6寄存器加0x08的和的地址值内的数据传送到X5

STR X0, [SP, #0x8] ；X0寄存器的数据传送到SP+0x8地址值指向的存储空间

STP x29, x30, [sp, #0x10] ;入栈指令

LDP x29, x30, [sp, #0x10] ;出栈指令

CBZ;比较（Compare），如果结果为零（Zero）就转移（只能跳到后面的指令）

CBNZ;比较，如果结果非零（Non Zero）就转移（只能跳到后面的指令）

CMP;比较指令，相当于SUBS，影响程序状态寄存器

CPSR B/BL ;绝对跳转#imm， 返回地址保存到LR（X30）

RET;子程序返回指令，返回地址默认保存在LR（X30）

状态寄存器(标记寄存器)

CPU内部的寄存器中,有一种特殊的寄存器(对于不同的处理器,个数和结构都可能不同).这种寄存器在ARM中,被称为状态寄存器就是CPSR(current program status register)寄存器

CPSR和其他寄存器不一样,其他寄存器是用来存放数据的,都是整个寄存器具有一个含义.而CPSR寄存器是按位起作用的,也就是说,它的每一位都有专门的含义,记录特定的信息

注意:CPSR寄存器是32位的

• CPSR的低8位（包括I、F、T和M[4：0]）称为控制位，程序无法修改,除非CPU运行于特权模式下,程序才能修改控制位!
• N、Z、C、V均为条件码标志位。它们的内容可被算术或逻辑运算的结果所改变，并且可以决定某条指令是否被执行!意义重大!

N（Negative）标志

CPSR的第31位是 N，符号标志位。它记录相关指令执行后,其结果是否为负.如果为负 N = 1,如果是非负数 N = 0.

注意,在ARM64的指令集中,有的指令的执行时影响状态寄存器的,比如add\sub\or等,他们大都是运算指令(进行逻辑或算数运算)；

Z(Zero)标志

CPSR的第30位是Z，0标志位。它记录相关指令执行后,其结果是否为0.如果结果为0.那么Z = 1.如果结果不为0,那么Z = 0

对于Z的值,我们可以这样来看,Z标记相关指令的计算结果是否为0,如果为0,则N要记录下”是0”这样的肯定信息.在计算机中1表示逻辑真,表示肯定.所以当结果为0的时候Z = 1,表示”结果是0”.如果结果不为0,则Z要记录下”不是0”这样的否定信息.在计算机中0表示逻辑假,表示否定,所以当结果不为0的时候Z = 0,表示”结果不为0”。

C(Carry)标志

CPSR的第29位是C，进位标志位。一般情况下,进行无符号数的运算

加法运算：当运算结果产生了进位时（无符号数溢出），C=1，否则C=0

减法运算（包括CMP）：当运算时产生了借位时（无符号数溢出），C=0，否则C=1

   对于位数为N的无符号数来说，其对应的二进制信息的最高位，即第N - 1位，就是它的最高有效位，而假想存在的第N位，就是相对于最高有效位的更高位。如下图所示：

进位

我们知道，当两个数据相加的时候，有可能产生从最高有效位向更高位的进位。比如两个32位数据：0xaaaaaaaa + 0xaaaaaaaa,将产生进位。由于这个进位值在32位中无法保存，我们就只是简单的说这个进位值丢失了。其实CPU在运算的时候，并不丢弃这个进位值，而是记录在一个特殊的寄存器的某一位上。ARM下就用C位来记录这个进位值。比如，下面的指令

1
2
3
4
5

mov w0,#0xaaaaaaaa；0xa 的二进制是 1010
adds w0,w0,w0； 执行后 相当于 1010 << 1 进位1（无符号溢出） 所以C标记 为 1
adds w0,w0,w0； 执行后 相当于 0101 << 1 进位0（无符号没溢出） 所以C标记 为 0
adds w0,w0,w0； 重复上面操作
adds w0,w0,w0

借位

当两个数据做减法的时候，有可能向更高位借位。再比如，两个32位数据：0x00000000 - 0x000000ff,将产生借位，借位后，相当于计算0x100000000 - 0x000000ff。得到0xffffff01 这个值。由于借了一位，所以C位 用来标记借位。C = 0.比如下面指令：

1
2
3
4

mov w0,#0x0
subs w0,w0,#0xff ;
subs w0,w0,#0xff
subs w0,w0,#0xff

V(Overflow)溢出标志

CPSR的第28位是V，溢出标志位。在进行有符号数运算的时候，如果超过了机器所能标识的范围，称为溢出。

• 正数 + 正数 为负数 溢出
• 负数 + 负数 为正数 溢出
• 正数 + 负数 不可能溢出

内存分区

代码区: 可读可写

栈区域: 放参数和局部变量，可读可写

堆区域: 动态申请 可读可写

全局: 可读可写

常量区: 只读

adrp指令

adrp 是计算指定的数据地址 到当前PC值的相对偏移

adrp x0, 1

1.将1的值,左移12位 1 0000 0000 0000 == 0x1000

2.将PC寄存器的低12位清零(2^12 = 4kb) 0x1002e6874 ==> 0x1002e6000

3.将1和2的结果相加给X0寄存器

常量获取：基地址+偏移地址

在arm中，ADD加法不带进位，ADDS是带进位的，运算完成要置符号位(最高位作为符号位)，SUB和SUBS类似

void funA() {
    asm(
        "mov w0,#0x7fffffff\n"
        "adds w0,w0,#0x2\n"
        "mov w0,#0x80000000\n"
        "subs w0,w0,#0x2\n"
        );
}

void funB() {
    int32_t a = 0x80000000;
    printf("%d\n",a);
    a = a - 2;
    printf("%d\n",a);
}

int main(int argc, char * argv[]) {
    funA();
    funB();
}

如有任何疑问或问题请联系我:fishnewsdream@gmail.com,欢迎交流，共同提高！

Objective-C/Swift技术开发交流群201556264，讨论何种技术并不受限，欢迎各位大牛百家争鸣！

微信公众号OldDriverWeekly，欢迎关注并提出宝贵意见

老司机iOS周报,欢迎关注或订阅

刚刚在线工作室，欢迎关注或提出建设性意见！

刚刚在线论坛, 欢迎踊跃提问或解答！

如有转载，请注明出处，谢谢！

这里使用的是非越狱手机、pp助手(https://pan.baidu.com/s/1cxgFdn7RNXC2IwnEitk9RA, 密码:nbva)用来下载越狱包、及安装MonkeyDev

由于是非越狱手机，所以需要借助pp助手下载一个微信越狱包，那为什么要安装MonkeyDev呢？

MonkeyDev是一个非越狱开发集成神器

• 可以使用Xcode开发CaptainHook Tweak、Logos Tweak 和 Command-line Tool，在越狱机器开发插件，这是原来iOSOpenDev功能的迁移和改进
• 只需拖入一个砸壳应用，自动集成class-dump、restore-symbol、Reveal、Cycript和注入的动态库并重签名安装到非越狱机器
• 支持调试自己编写的动态库和第三方App
• 支持通过CocoaPods第三方应用集成SDK以及非越狱插件，简单来说就是通过CocoaPods搭建了一个非越狱插件商店

安装：

1.安装最新的theos

sudo git clone --recursive https://github.com/theos/theos.git /opt/theos

2.安装ldid

brew install ldid

3.选择指定Xcode进行安装

sudo xcode-select -s /Applications/Xcode-beta.app

sudo /bin/sh -c "$(curl -fsSL https://raw.githubusercontent.com/AloneMonkey/MonkeyDev/master/bin/md-install)"

• 默认安装的xcode为xcode-select -p

4.卸载

sudo /bin/sh -c "$(curl -fsSL https://raw.githubusercontent.com/AloneMonkey/MonkeyDev/master/bin/md-uninstall)"

使用：

1.新建一个monkeyDev工程

2.将微信越狱包拖到此文件下然后真机运行

3.启动成功后进入Cycript环境并修改

使用cycript -r 网络IP地址：端口号 进行cycript环境，手机需和Mac处于同一网络下，端口号可以自行修改

这个命令可以写成一个脚本，将这个脚本放在指定目录，并且在.bash_profile中做好配置,以后就不用每次输入

隐藏状态栏

自定义弹框

设置推送通知个数

查看当前程序所有的UILabel

修改红包数额

如果想修改某个控件的值，可以使用choose方法，也可以直接通过Xcode查看层次结构找到该控件的地址，然后再做修改

如有任何疑问或问题请联系我:fishnewsdream@gmail.com,欢迎交流，共同提高！

Objective-C/Swift技术开发交流群201556264，讨论何种技术并不受限，欢迎各位大牛百家争鸣！

微信公众号OldDriverWeekly，欢迎关注并提出宝贵意见

老司机iOS周报,欢迎关注或订阅

刚刚在线工作室，欢迎关注或提出建设性意见！

刚刚在线论坛, 欢迎踊跃提问或解答！

如有转载，请注明出处，谢谢！

首先，这些安装工具并非必须的，仅为提升效率使用,以简洁为主

Alfred, 密码:fnsh

pp_mac, 密码:nbva

go2Shell, 密码:v31a

Alfred安装

打开安装包，将Alfred 3拖入程序，打开Alfred 3 KG，点击PATCH弹窗对话框，选择Alfred 3，如果弹出需安装Xcode_select,需要安装，然后点击save,会提示saved successfully,即破解版安装成功

然而，安装成功后打开会提示文件损坏，是因为这并非使用的App Store下载的，需打开系统偏好设设置->安全性与隐私->选择任何来源即可。如果没有任何来源选项，需设置sudo spctl --master-disable

默认使用option+space会唤起Alfred，打开偏好设置，点击Web Search, 可以配置常用app的唤起方式，默认都是一些国外的网站。如果Alfred没有购买或者破解，这个设置是无效的。

可以点击Add Custom Search自己添加一些自定义的搜索设置

只需要在对应的网站上搜索，记下网址，并把具体的搜索内容改为{query}就可以找到我们自定义搜索设置中所需要的Search URL信息了。可以加一些常用的网站设置

• 百度：https://www.baidu.com/s?ie=utf-8&f=8&wd={query}

• 简书：http://www.jianshu.com/search?utf8=%E2%9C%93&q={query}

• 微信文章：http://weixin.sogou.com/weixin?type=2&query={query}

• stackoverflow：http://www.stackoverflow.com/search?q={query}

• github：https://github.com/search?utf8=%E2%9C%93&q={query}

另外，Alfred如果需要支持iTerm2需要做额外的设置

添加的脚本内容是

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

on alfred_script(q)  
    if application "iTerm2" is running or application "iTerm" is running then  
        run script "  
            on run {q}  
                tell application \":Applications:iTerm.app\"  
                    activate  
                    try  
                        select first window  
                        set onlywindow to false  
                    on error  
                        create window with default profile  
                        select first window  
                        set onlywindow to true  
                    end try  
                    tell current session of the first window  
                        if onlywindow is false then  
                            tell split vertically with default profile  
                                write text q  
                            end tell  
                        end if  
                    end tell  
                end tell  
            end run  
        " with parameters {q}  
    else  
        run script "  
            on run {q}  
                tell application \":Applications:iTerm.app\"  
                    activate  
                    try  
                        select first window  
                    on error  
                        create window with default profile  
                        select first window  
                    end try  
                    tell the first window  
                        tell current session to write text q  
                    end tell  
                end tell  
            end run  
        " with parameters {q}  
    end if  
end alfred_script

iTerm2安装

下载地址

下载的是压缩文件，解压后是执行程序文件，你可以直接双击，或者直接将它拖到 Applications 目录下

者你可以直接使用 Homebrew 进行安装：

brew cask install iterm2

iTerm2 最常用的主题是 Solarized Dark theme，下载地址

下载的是压缩文件，解压一下，然后打开 iTerm2偏好设置界面，然后Profiles -> Colors -> Color Presets -> Import，选择刚才解压的solarized->iterm2-colors-solarized->Solarized Dark.itermcolors文件，导入成功，最后选择Solarized Dark 主题，就可以了

配置 Oh My Zsh

Oh My Zsh 是对主题的进一步扩展,一键安装:

sh -c "$(curl -fsSL https://raw.github.com/robbyrussell/oh-my-zsh/master/tools/install.sh)"

安装好之后，需要把 Zsh 设置为当前用户的默认 Shell,这样新建标签的时候才会使用 Zsh，Mac默认使用的是bash

chsh -s /bin/zsh

注意，bash默认加载的文件是.bash_profile,而zsh默认.zshrc,相关配置也是在这两个文件中

这两个都是隐藏文件，Mac上显示隐藏文件的快捷键是shift+commond+. ,不显示隐藏文件再敲一次快捷键即可

然后编辑vim ~/.zshrc,将主题设置为ZSH_THEME="agnoster"

agnoster是比较常用的 zsh 主题之一，你可以挑选你喜欢的主题，zsh 主题列表下载

使用上面的主题，需要 Meslo 字体支持，要不然会出现乱码的情况，字体下载地址

下载好之后，直接在 Mac OS 中安装即可。

然后打开 iTerm2偏好设置，然后Profiles -> Text -> Font -> Chanage Font，选择 Meslo LG M Regular for Powerline 字体

选择什么样的字体和大小可以随意设置

下面设置声明高亮

使用Homebrew安装

brew install zsh-syntax-highlighting

安装成功之后，编辑vim ~/.zshrc文件，在最后一行增加下面配置：

source /usr/local/share/zsh-syntax-highlighting/zsh-syntax-highlighting.zsh

再之后可以添加自动建议填充功能，这个功能比较实用，可以快读的敲出命令

配置步骤，先克隆zsh-autosuggestions项目，到指定目录：

git clone https://github.com/zsh-users/zsh-autosuggestions ~/.oh-my-zsh/custom/plugins/zsh-autosuggestions

然后编辑vim ~/.zshrc文件，找到plugins配置，增加zsh-autosuggestions插件。

iTerm还可以额外设置很多很多功能，可自行百度

下面列举一些iTerm2的快捷命令

注意，如果使用zsh想完全兼容bash，可以在.zshrc文件最后加上一句source ~/.bash_profile即可

goshell安装

打开安装包，要按住commond再拖动go2shell到finder中去，Mac10.10之后需要按住commond键

安装完打开选择iTerm2

安装goshell可能会遇到一些问题，比如文件夹右上角显示问好之类的，这时候要点击uninstall然后再重新install

如有任何疑问或问题请联系我:fishnewsdream@gmail.com,欢迎交流，共同提高！

Objective-C/Swift技术开发交流群201556264，讨论何种技术并不受限，欢迎各位大牛百家争鸣！

微信公众号OldDriverWeekly，欢迎关注并提出宝贵意见

老司机iOS周报,欢迎关注或订阅

刚刚在线工作室，欢迎关注或提出建设性意见！

刚刚在线论坛, 欢迎踊跃提问或解答！

如有转载，请注明出处，谢谢！

Cycript 是一个能够理解Objective-C语法的javascript解释器，让开发者在命令行下和应用交互，在运行时查看和修改应用，一般用于动态调试应用

1.到官网下载并拖到具体位置即可

2.打开.bash_profile做相应配置

如果使用的是iTerm2和on my zsh组合，又没有设置兼容bash,则需要在.zshrc文件下配置

3.在终端或iTerm2输入cycript验证是否配置成功

使用commond+D退出，我在公司的电脑上验证通过，但是在自己的电脑上却报错

1
2
3

dyld: Library not loaded: /System/Library/Frameworks/Ruby.framework/Versions/2.0/usr/lib/libruby.2.0.0.dylib
  Referenced from: /Users/devzkn/Downloads/cycript_0.9.594/Cycript.lib/cycript-apl
  Reason: image not found

这个错误是因为ruby版本太高导致

解决方法：

• 查看电脑ruby版本，我的版本是2.3
  • cd /System/Library/Frameworks/Ruby.framework/Versions/
  • ls

• 关闭系统的SIP

  • 在 OS X El Capitan 中有一个跟安全相关的模式叫 SIP（System Integrity Protection ），它禁止让软件以 root 身份来在 Mac 上运行，在升级到 OS X 10.11 中或许你就会看到部分应用程序被禁用了，这些或许是你通过终端或者第三方软件源安装。对于大多数用户来说，这种安全设置很方便，但是也有些开发者或者高级 Mac 用户不需要这样的设置
  • 电脑重启按住command+R，进入恢复模式
  • 打开终端，输入csrutil disable，重启
  • 如果想打开SIP，重复上两步，命令改为csrutil enable

• 直接复制一份，改为2.0即可

  • sudo mkdir -p /System/Library/Frameworks/Ruby.framework/Versions/2.0/usr/lib/

  • sudo ln -s /System/Library/Frameworks/Ruby.framework/Versions/2.3/usr/lib/libruby.2.3.0.dylib /System/Library/Frameworks/Ruby.framework/Versions/2.0/usr/lib/libruby.2.0.0.dylib

  • 根据每个人ruby版本不同，将上面第二条命令的/System/Library/Frameworks/Ruby.framework/Versions/2.3/usr/lib/libruby.2.3.0.dylib中的2.3改成本机的ruby版本。
    这里不是降级ruby，只是复制一份2.0的ruby的dylib，让cycript运行起来

4.cycript部分常用命令

• 获取项目单例： UIApp或者[uiapplication sharedApplication]
• 格式化： .toString()
• 根据地址获取对象： #内存地址
• 打印当前页面view层级： UIApp.keyWindow.recursiveDescription().toString()
• 获取下一个响应者： [#内存地址 nextResponder]
• 查找指定类型: choose(UILabel)
• 获取指定对象的所有属性： [#内存地址 _ivarDescription].toString()
• 查看安装的进程： ps -e |grep /var/mobile*
• 查看架构层级： [[UIApp keyWindow] _autolayoutTrace].toString()

如有任何疑问或问题请联系我:fishnewsdream@gmail.com,欢迎交流，共同提高！

Objective-C/Swift技术开发交流群201556264，讨论何种技术并不受限，欢迎各位大牛百家争鸣！

微信公众号OldDriverWeekly，欢迎关注并提出宝贵意见

老司机iOS周报,欢迎关注或订阅

刚刚在线工作室，欢迎关注或提出建设性意见！

刚刚在线论坛, 欢迎踊跃提问或解答！

如有转载，请注明出处，谢谢！