| 导语 在逆向开发中，通过dump MachO文件后如果一个类型是Block那么就会解析成CDUnknownBlockType类型，本文的目的是教你如何还原Block的参数

1 Block的内存模型定义

struct Block_literal_1 {
    void *isa; // initialized to &_NSConcreteStackBlock or &_NSConcreteGlobalBlock
    int flags;
    int reserved;
    void (*invoke)(void *, ...);
    struct Block_descriptor_1 {
        unsigned long int reserved;         // NULL
        unsigned long int size;         // sizeof(struct Block_literal_1)
        // optional helper functions
        void (*copy_helper)(void *dst, void *src);     // IFF (1<<25)
        void (*dispose_helper)(void *src);             // IFF (1<<25)
        // required ABI.2010.3.16
        const char *signature;                         // IFF (1<<30)
    } *descriptor;
    // imported variables
};

从Block的定义可以看出，Block是一个结构体，同时也是一个OC对象，其中invoke是block的函数指针，Block_descriptor_1是对Block进行描述其中signature是对Block的函数进行签名，假设能够获取到signature的值那么通过[NSMethodSignature signatureWithObjCTypes:"signature"]就能够获取到block函数的参数。

2 实战

现在以修改mac端项目中的某个功能为例子，进行验证。修改功能的方法为：- (void)SetGroupChatAnnouncementWithGroupUserName:(id)arg1 announceContent:(id)arg2 withCompletion:(CDUnknownBlockType)arg3;很明显，第三个参数是block类型。

2.1 通过hook方法的方式定位

hook方法的代码

// hook方法的原理
void wb_hookMethod(Class originalClass, SEL originalSelector, Class swizzledClass, SEL swizzledSelector) {
    Method originalMethod = class_getInstanceMethod(originalClass, originalSelector);
    Method swizzledMethod = class_getInstanceMethod(swizzledClass, swizzledSelector);
    if(originalMethod && swizzledMethod) {
        method_exchangeImplementations(originalMethod, swizzledMethod);
    }
}
// hook 方法的调用
wb_hookMethod(objc_getClass("GroupStorage"), @selector(SetGroupChatAnnouncementWithGroupUserName:announceContent:withCompletion:), [self class], @selector(wbhook_SetGroupChatAnnouncementWithGroupUserName:announceContent:withCompletion:));

- (void)wbhook_SetGroupChatAnnouncementWithGroupUserName:(id)arg1 announceContent:(id)arg2 withCompletion:(id) arg3{ // (void(^)(NSString *s) ) arg3
    NSLog(@"调用者：%@, 调用函数：%s, arg1:%@",[self className],__func__,arg1);
    [self wbhook_SetGroupChatAnnouncementWithGroupUserName:arg1 announceContent:arg2 withCompletion:arg3];
}

hook运行的结果：

image.png

通过执行 po arg3后可以得到signature的值 为：v20@?0c8@"NSString"12 这个字符串的含义可以参考苹果官网介绍

然后调用po [NSMethodSignature signatureWithObjCTypes:"v20@?0c8@\"NSString\"12"] 注意signature里的双引号需要转义。结果如下：

image.png

可见该Block的返回值是v，代表是void，第一个参数是@类型，看它的flags是一个block，其实block的第一个参数默认是本身，由编译器给我们插入，所以从第2个参数开始才是我们自己写的block参数，上面的block参数类型是c代表的是char类型，第三个参数是@，并有注释是NSString类型，所以第三个参数是NSString。

综上所述：-(void)SetGroupChatAnnouncementWithGroupUserName:(id)arg1 announceContent:(id)arg2 withCompletion:(CDUnknownBlockType)arg3;方法的还原为- (void)SetGroupChatAnnouncementWithGroupUserName:(id)arg1 announceContent:(id)arg2 withCompletion:(void(^)(char,NSString *)) arg3;

接下来对这个还原的方法进行测试：能够只能正确的执行。

image.png

2.2 Hopper + image list 方式逆向获取Block的参数

• 通过image list可以得到本次运行的MachO文件的内存地址为：0x000000010f631000

• 通过Hopper 查到-(void)SetGroupChatAnnouncementWithGroupUserName:(id)arg1 announceContent:(id)arg2 withCompletion:(CDUnknownBlockType)arg3;方法的偏移地址为：0x5e0328

• 对该方法动态下一个内存断点为b -a 0x5e0328+0x000000010f631000，可见内存断点下成功了

image.png

• 在项目中里随便触发一下功能点，触发断点，其结果如下：

image.png

我们通过查看：通用寄存器rcx、rdx、r8、r9的值，这个四个寄存器是Intel64架构约定存放函数参数的寄存器，详情可以参考。

就-(void)SetGroupChatAnnouncementWithGroupUserName:(id)arg1 announceContent:(id)arg2 withCompletion:(CDUnknownBlockType)arg3这个方法而言可以查看这个方法的所有参数值：arg1存在rcx，arg2存在rdx，arg3存在r8，如下图所示

image.png

通过打印po $r8可以得到block的函数签名值为v20@?0c8@"NSString"12。与2.1的方法获取一致。

至此，我们又得到了获取block参数的一种方式。

注：关于Hopp 和 image list的使用请参考：上一篇

2.3 通过IDA工具直接获取

IDA是反汇编中很重要的反汇编工具，它几乎可以做到完全还原源代码。通过IDA工具查看``-(void)SetGroupChatAnnouncementWithGroupUserName:(id)arg1 announceContent:(id)arg2 withCompletion:`的关键伪代码，如下所示：

void __cdecl -[GroupStorage SetGroupChatAnnouncementWithGroupUserName:announceContent:withCompletion:](
        GroupStorage *self,SEL a2,id a3,id a4,id a5)
{
    v14[0] = _NSConcreteStackBlock;
    v14[1] = 3254779904LL;
    v14[2] = &sub_1005E05AC;
    v14[3] = &unk_1044E1470;
    objc_copyWeak(&to, location);
    v15 = _objc_retain(v7);
    v16 = _objc_retain(v20);
    -[GroupStorage setChatRoomAnnouncementWithUserName:announceContent:withCompletion:](
      self,"setChatRoomAnnouncementWithUserName:announceContent:withCompletion:",v15,v19,v14);
}

对于上面的代码：很明显v14这个对象表示的就是Block，并且根据Block的内存模型可以知道，v14[3]就是Block_descriptor_1，在IDA工具中双击unk_1044E1470这个就可以得到如下图所示的片段。

044E1470 unk_1044E1470   db    0                 ; DATA XREF: -[GroupStorage SetGroupChatAnnouncementWithGroupUserName:announceContent:withCompletion:]+E4↑o
__const:00000001044E1480                 dq offset sub_1005E06FC
__const:00000001044E1488                 dq offset sub_1005E0739
__const:00000001044E1490                 dq offset aV200c8Nsstring ; "v20@?0c8@\"NSString\"12"           

由上可以知道该Block的签名为v20@?0c8@\"NSString\"12。至此又通过另一种方式查找到了Block的参数类型。

总结

本文主要介绍了如何查找Block函数参数的几种方式，不管是那种方式只要知道了Block的内存定义模型，然后找到这个Block的函数签名，就可以解析出这个Block的参数类型和个数。

关于基于Block内存模型调试的文章可以参考此文