在复现大佬的文章的时候,由于自己对switch表理解的不深刻,单纯依赖trace找到的跳转offset,看一下ida对于switch表的解析,记录一下。
在这里已知x27为switch表的基地址0xA6A0;其中x10=0x15=21;(如图一所示)
通过trace结果,可以定位到x2的绝对oofset为0x2d3c (如图二所示):
那么在ida中我们如何不依靠trace的结果去找到这个偏移呢!
首先switch jump表中的内容
通过图1的汇编代码
ldrsw x3, [x27, x10, lsl #2] ; r[x27=6e9a6a16a0 x10=15] w[x3=ffffffffffff8884]add x2, x3, x27 ; r[x3=ffffffffffff8884 x27=6e9a6a16a0] w[x2=6e9a699f24]br x2 ; r[x2=6e9a699f24]
相当于从switch table,里面以switchtable为基础地址,然后以x10*4的值为偏移取得4字节的数据,这四字节的数据加上基础地址,构成了跳转表的目标。
根据图2,算出offset为0x777c,然后x3=ffffffffffff8884,x3的原码正好为-0x777c:
得出结论:ida在arm64解析switch table时,
table中存储的类型为四字节的绝对偏移,然后table的base+此存储的绝对偏移,构成了table的跳转。
对比ida解析:
原因ida处理了下,但是原始字节确实是存储的绝对偏移(图上的为补码存储)
对爬虫和逆向感兴趣可以关注我朋友:
我是BestToYou,分享工作或日常学习中关于Android、iOS逆向及安全防护的一些思路和一些自己闲暇时刻调试的一些程序,文中若有错误或者不足的地方,恳请大家联系我批评指正。
原文始发于微信公众号(二进制科学):在ida中me对switch表的浅析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论