Chap 16: Exploring and Method Swizzling Objective-C Frameworks

边看书边实践，写的一个流水账，做一下记录，就理解了这么多 :)
iOS 11之前可以用比较简单的方法显示出UIDebuggingInformation'Overlay，据说iOS 11加了一些checks导致没那么容易了，看这里哦。这本书的chap16讲了在模拟器里，怎样bypass苹果的那些checks，有两个方法，一种使用lldb；另一种使用Method Swizzling在代码中完成。模拟器是 iOS 11.2

ios 11 bypass for UIDebuggingInformationOverlay:

1, 在控制台，使用lldb连接一个APP

# lldb -n MobileSlideShow  // MobileSlideShow对应Photos App

需要attach成功

2, 查询 UIDebuggingInformationOverlay:

(lldb) image lookup -rn UIDebuggingInformationOverlay

输出查询到的内容，98 matches found, 这个正则查询写的不好，匹配到的信息不关键，可以使用之前写好的一个自定义命令(chap8)

3，使用自定义methods命令查询 UIDebuggingInformationOverlay:

(lldb) methods UIDebuggingInformationOverlay
<UIDebuggingInformationOverlay: 0x108c4f2a0>
in UIDebuggingInformationOverlay:
        Class Methods:
        + (void) prepareDebuggingOverlay; (0x10826c036)
        ...
        Properties:
        ...
        Instance Methods:
        ...
        - (id) init; (0x10826bf62)
        ...

注意到其中的init方法所在的address

4, 查询init函数对应的汇编代码：

(lldb) dd 0x10826bf62
UIKit, -[UIDebuggingInformationOverlay init]
...
    6    0x10826bf70 <+14>:   cmp   qword ptr [rip + 0xa04470],  -0x1 UIDebuggingOverlayIsEnabled.__overlayIsEnabled + 7 ; 0x108c703e8 UIKit.__DATA.__bss
   *7    0x10826bf78 <+22>:   jne   0x10826bfe4 <+130>
...

或者

(lldb) disassemble -n "-[UIDebuggingInformationOverlay init]"
UIKit`-[UIDebuggingInformationOverlay init]:
...
    0x10826bf70 <+14>:  cmp    qword ptr [rip + 0xa04470], -0x1 ; UIDebuggingOverlayIsEnabled.__overlayIsEnabled + 7
    0x10826bf78 <+22>:  jne    0x10826bfe4
...

或者用下面的lldb命令获取init函数反汇编的前10行：

(lldb) disassemble -n "-[UIDebuggingInformationOverlay init]" -c10
UIKit`-[UIDebuggingInformationOverlay init]:
...
    0x10826bf70 <+14>: cmp    qword ptr [rip + 0xa04470], -0x1 ; UIDebuggingOverlayIsEnabled.__overlayIsEnabled + 7
    0x10826bf78 <+22>: jne    0x10826bfe4               ; <+130>
...

注意其中<+14>对应的行，此行提到的symbol的名称是错误的，找到正确的symbol名的方法按照下面的步骤。

5, 有两个方法获取到对应的symbol的地址（然后根据地址查找正确的名称）：

1）计算地址：

注意上述汇编代码中 [rip + 0xa04470], rip 是当前语句的下一句，rip=0x10826bf78
rip + 0xa04470 = 0x10826bf78 + 0xa04470 = 0x108c703e8

2）通过lldb的image命令查看：

(lldb) image lookup -vs UIDebuggingOverlayIsEnabled.__overlayIsEnabled
1 symbols match 'UIDebuggingOverlayIsEnabled.__overlayIsEnabled' in /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/Library/CoreSimulator/Profiles/Runtimes/iOS.simruntime/Contents/Resources/RuntimeRoot/System/Library/Frameworks/UIKit.framework/UIKit:
        Address: UIKit[0x00000000015c53e0] (UIKit.__DATA.__bss + 24960)
        Summary: UIKit`UIDebuggingOverlayIsEnabled.__overlayIsEnabled
         Module: file = "/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/Library/CoreSimulator/Profiles/Runtimes/iOS.simruntime/Contents/Resources/RuntimeRoot/System/Library/Frameworks/UIKit.framework/UIKit", arch = "x86_64"
         Symbol: id = {0x0001bb0f}, range = [0x0000000108c703e0-0x0000000108c703e8), name="UIDebuggingOverlayIsEnabled.__overlayIsEnabled"

注意上述结果中的 range 字段后面的值，与1）中计算出来的值相等

6, 使用lldb的image命令，查看对应地址的symbol

(lldb) image lookup -a 0x0000000108c703e8 
或者
 (lldb) image lookup -a 0x108c703e8
Address: UIKit[0x00000000015c53e8] (UIKit.__DATA.__bss + 24968)
      Summary: UIKit`UIDebuggingOverlayIsEnabled.onceToken

这是真正要找的symbol名, app在此处完成是否有debug overlay的检查.

7, 检查此地址存放的变量值

(lldb) x/gx 0x0000000108c703e8
0x108c703e8: 0xffffffffffffffff

如果看到的是 -1，说明之前执行过[UIDebuggingInformationOverlay new];
如果没有执行过这一语句，此时值为 0

为什么是-1就是执行过? 为什么改成-1就能绕过这个check？

因为，dispatch_once_t 变量初始值为1，类似于static，当dispatch_once执行过一次之后，变量被设置为 -1，然后就不会再执行这个逻辑了。

因此，如果能把此值设置为 -1 ，即可以跳过dispatch_once包含的逻辑，而苹果的这个check是在dispatch_once里执行的。

8, 修改这个值

(lldb) mem write 0x0000000108c703e8 0x0 -s 8   // 修改为 0
(lldb) x/gx 0x0000000108c703e8  // 查看修改结果
0x108c703e8: 0x0000000000000000
(lldb) mem write 0x0000000108c703e8 0xffffffffffffffff -s 8  // 修改为 -1
(lldb) x/gx 0x0000000108c703e8  // 查看修改结果
0x108c703e8: 0xffffffffffffffff

或者使用po写入：

(lldb) po *(long *)0x0000000108c703e8=0  // 修改为0
<nil>
(lldb) x/gx 0x0000000108c703e8  // 查看结果
0x108c703e8: 0x0000000000000000
(lldb) po *(long *)0x0000000108c703e8=-1  // 修改为-1
-1
(lldb) x/gx 0x0000000108c703e8   // 查看结果
0x108c703e8: 0xffffffffffffffff

==== 以上方法，可以跳过第一个check：dispatch_once block

9, 再次查看前10行汇编代码:

(lldb) disassemble -n "-[UIDebuggingInformationOverlay init]" -c1

最后两行：

    0x10826bf7a <+24>: cmp    byte ptr [rip + 0xa0445f], 0x0 ; mainHandler.onceToken + 7
    0x10826bf81 <+31>: je     0x10826bfcc               ; <+106>

此处 mainHandler.onceToken symbol名称依然是错误的，使用前面的方法找到正确的名称:

rip + 0xa0445f = 0x10826bf81 + 0xa0445f = 0x108c703e0
(lldb) image lookup -a 0x108c703e0
      Address: UIKit[0x00000000015c53e0] (UIKit.__DATA.__bss + 24960)
      Summary: UIKit`UIDebuggingOverlayIsEnabled.__overlayIsEnabled

这是真正要找的symbol名。同样的，要绕过这个check，需要修改它的值为-1

10, 修改这个值

(lldb) x/gx 0x108c703e0
0x108c703e0: 0x0000000000000000
(lldb) po *(long *)0x108c703e0=-1
-1
(lldb) x/gx 0x108c703e0
0x108c703e0: 0xffffffffffffffff

11, bypass两个 dispatch_once 之后(设置两个-1值），可以检查是否有所改变

(lldb) po [UIDebuggingInformationOverlay new]
<UIDebuggingInformationOverlay: 0x7fd1ea449ee0; frame = (0 0; 375 812); hidden = YES; gestureRecognizers = <NSArray: 0x600000a4b670>; layer = <UIWindowLayer: 0x600000a38b60>>

不再是之前执行时候的nil，而有值了

12, 检查overlay方法是否valid

(lldb) po [UIDebuggingInformationOverlay overlay]
<UIDebuggingInformationOverlay: 0x7fd1ea573590; frame = (0 0; 375 812); hidden = YES; gestureRecognizers = <NSArray: 0x60400085cd40>; layer = <UIWindowLayer: 0x604000635e60>>

13, 确认11，12两步输出都有值而不是nil, 如果仍然没有且肯定前面的操作是正确的，那么可能苹果又增加了check~

14, 接下来就是显示出来这个Overlay

(lldb) po [[UIDebuggingInformationOverlay overlay] toggleVisibility]
0x000060400085dca0

(lldb) continue
Process 24179 resuming

打开模拟器，出现了Overlay但是是blank的，没有截图，可以想像一下，一个空的没内容的window。
原因是没有调用+[UIDebuggingInformationOverlay prepareDebuggingOverlay]

15, 查看prepareDebuggingOverlay方法的汇编代码

(lldb) dd 0x10826c036  // 这个地址是在 methods UIDebuggingInformationOverlay 中查看到的此方法对应的地址
...
   *8    0x10826c044 <+14>:   call  0x10826cfe3  ; _UIGetDebuggingOverlayEnabled
    9    0x10826c049 <+19>:   test  al,  al
   *10   0x10826c04b <+21>:   je    0x10826c154 <+286>
...

注意到这几句，执行_UIGetDebuggingOverlayEnabled 后，检查它的返回值（al是存放返回值的寄存器RAX的低字节）。
如果这个AL里的值是0，直接跳到 0x10826c154 <+286>
而这个偏移对应的是：

   *75   0x10826c152 <+284>:  jmp   rax
    76   0x10826c154 <+286>:  add   rsp,  0x8

是函数 prepareDebuggingOverlay 的结尾

16, 因此，在 _UIGetDebuggingOverlayEnabled 函数中设置断点，然后setp over（finish）, 到它返回后的下一句

17, 设置断点

(lldb) b _UIGetDebuggingOverlayEnabled

18, 继续执行代码, 等待进入断点

(lldb) exp -i0 -O -- [UIDebuggingInformationOverlay prepareDebuggingOverlay]

如果之前程序不在中断模式，会报error，需要执行 process interrupt, 中断程序, 然后再执行此句, 进入断点后执行finish进行step over:

(lldb) finish 

程序回到prepareDebuggingOverlay方法, offset 19，测试AL之前

19，打印AL寄存器的值

(unsigned char) $10 = 0x00   // test满足条件，会导致函数直接return

因此, 需要修改这个寄存器的值:

(lldb) po $al=0xff
'�'
(lldb) p/x $al
(unsigned char) $12 = 0xff

通过si命令验证一下, 连续执行两个si:

(lldb) si
Process 24179 stopped
* thread #1, queue = 'com.apple.main-thread', stop reason = instruction step into
    frame #0: 0x000000010826c04b UIKit` +[UIDebuggingInformationOverlay prepareDebuggingOverlay]  + 21
UIKit`+[UIDebuggingInformationOverlay prepareDebuggingOverlay]:
->  0x10826c04b <+21>: je     0x10826c154               ; <+286>
    0x10826c051 <+27>: lea    rax, [rip + 0xa05800]     ; UIApp
    0x10826c058 <+34>: mov    rdi, qword ptr [rax]
    0x10826c05b <+37>: mov    rsi, qword ptr [rip + 0x951e9e] ; "statusBarWindow"
    0x10826c062 <+44>: mov    r13, qword ptr [rip + 0x5d859f] ; (void *)0x000000010a866940: objc_msgSend
    0x10826c069 <+51>: call   r13
    0x10826c06c <+54>: mov    rdi, rax
    0x10826c06f <+57>: call   0x108556136               ; symbol stub for: objc_retainAutoreleasedReturnValue
Target 0: (MobileSlideShow) stopped.
(lldb) si
Process 24179 stopped
* thread #1, queue = 'com.apple.main-thread', stop reason = instruction step into
    frame #0: 0x000000010826c051 UIKit` +[UIDebuggingInformationOverlay prepareDebuggingOverlay]  + 27
UIKit`+[UIDebuggingInformationOverlay prepareDebuggingOverlay]:
->  0x10826c051 <+27>: lea    rax, [rip + 0xa05800]     ; UIApp
    0x10826c058 <+34>: mov    rdi, qword ptr [rax]
    0x10826c05b <+37>: mov    rsi, qword ptr [rip + 0x951e9e] ; "statusBarWindow"
    0x10826c062 <+44>: mov    r13, qword ptr [rip + 0x5d859f] ; (void *)0x000000010a866940: objc_msgSend
    0x10826c069 <+51>: call   r13
    0x10826c06c <+54>: mov    rdi, rax
    0x10826c06f <+57>: call   0x108556136               ; symbol stub for: objc_retainAutoreleasedReturnValue
    0x10826c074 <+62>: mov    qword ptr [rbp - 0x30], rax
Target 0: (MobileSlideShow) stopped.

说明是继续向下执行而不是return了。

20, 继续执行程序

(lldb) continue

此时对于lldb已经没什么可做的了，已经修改完需要修改的寄存器的值。但是，还需要保证程序是在pause的状态, 后续还有命令要执行。

后续的步骤是为了具体找到触发弹出此Overlay的触发条件-方法（手势），之前在看到prepareDebuggingOverla汇编代码的时候，已经可以看到注册了手势，需要执行下面步骤的查看，确认手势handler执行具体display overlay的条件。

21, 通过以上prepareDebuggingOverlay汇编代码, 观察到启动overlay时注册了两个touch的tap statusbar的手势（两个手指）,

因此需要查看这个手势的handler。
之前methods UIDebuggingInformationOverlay中与手势handler相关的类名称为:
UIDebuggingInformationOverlayInvokeGestureHandler, 使用methods命令查看这个handler中的方法:

(lldb) methods UIDebuggingInformationOverlayInvokeGestureHandler
<UIDebuggingInformationOverlayInvokeGestureHandler: 0x108c4f278>:
in UIDebuggingInformationOverlayInvokeGestureHandler:
        Class Methods:
            + (id) mainHandler; (0x10826bc36)
        Properties:
            @property (readonly) unsigned long hash;
            @property (readonly) Class superclass;
            @property (readonly, copy) NSString* description;
            @property (readonly, copy) NSString* debugDescription;
        Instance Methods:
            - (BOOL) gestureRecognizer:(id)arg1 shouldRecognizeSimultaneouslyWithGestureRecognizer:(id)arg2; (0x10826bf5a)
            - (void) _handleActivationGesture:(id)arg1; (0x10826bca9)
(NSObject ...) 

注意到处理手势的方法：

(lldb) dd 0x10826bca9
UIKit, -[UIDebuggingInformationOverlayInvokeGestureHandler _handleActivationGesture:]
...
    7    0x10826bcb7 <+14>:   mov   rsi,  qword ptr [rip + 0x94fc62]  ; "state"
    8    0x10826bcbe <+21>:   mov   rdi,  rdx 
   *9    0x10826bcc1 <+24>:   call  qword ptr [rip + 0x5d8941] (void *)0x000000010a866940: objc_msgSend ; 0x108844608 UIKit.__DATA.__got
    10   0x10826bcc7 <+30>:   cmp   rax,  0x3
   *11   0x10826bccb <+34>:   jne   0x10826be0f <+358>
...

注意到，UITapGestureRecognizer实例是作为第一个(only)参数（RDI）传到handler中的, <+24>调用objc_msgSend时, 当前RDI是它的第一个参数，也就是UITapGestureRecognizer的实例, 第二个参数是存放在RSI中的，也就是state这个字符串, 因此, <+24>这句是获取这个gesture的state (RDI=gesture实例，RSI=state, 然后 objc_msgSend),
返回值放入RAX，RAX与0x3比较，如果相等继续向下执行，如果不等于0x3，跳到<+358>return。
而在手势状态的定义中，0x3在gesute status中代表UIGestureRecognizerStateEnded.
这意味着需要两个手指在status bar上(注意是sttus bar，而不是navigation bar) 进行tap动作，可以触发这个overlay(touches和taps的设置在prepareDebuggingOverlay汇编代码里可以看到)

22, 模拟器两个手指tap？

平时不用模拟器，现在抓了瞎~~

按住Option, 移动鼠标到模拟器上, 出现了两个手指, 然后移动鼠标, 使这两个手指位置水平且有一定距离（因为要点的是iPhone X的status bar, 中间有齐刘海~~）。然后按住Shift移动这两个手指到status bar 上, 点击，完成:)

出现了期待的UIDebuggingInformationOverlay窗口：

Simulator Screen Shot - iPhone X - 2018-03-23 at 15.19.03.png

23，代码方法补充

使用代码实现的方法，看书和示例代码就好了。只是有一点，书上在The final push 一节之前说，会显示一个空白的OverlayWindow，我的实践结果是此时点按钮什么都不会出现，没有blank窗口。仔细分析，我想应该是没用调用overlay的 toggleVisibility 方法，所以虽然使用Method Swizzling绕过了苹果的check，但是并不会显示出窗口来。因此，在代码里做了一些修改：

class ViewController: UIViewController {

  var hasPerformedSetup: Bool = false
  @IBAction func overlayButtonTapped(_ sender: Any) {
    guard let cls = NSClassFromString("UIDebuggingInformationOverlay") as? UIWindow.Type else {
      print("UIDebuggingInformationOverlay class doesn't exist!")
      return
    }
    
    if !self.hasPerformedSetup {
      cls.perform(NSSelectorFromString("prepareDebuggingOverlay"))
      self.hasPerformedSetup = true
    }

    guard let overlay = cls.perform(NSSelectorFromString("overlay")) else {
      print("UIDebuggingInformationOverlay 'overlay' method returned nil")
      return
    }
    // 加入下面这句，调用toggleVisibility显示overlay window
    _ = (overlay.takeUnretainedValue() as? UIWindow)?.perform(NSSelectorFromString("toggleVisibility"))
   }
}

点按钮，可以显示blank的overlay