以下内容摘自《iOS应用逆向工程》第二版，以iOS 8为环境编写，应该也支持iOS 7和iOS 9，请大家注意。

因为Apple已经弃gdb投lldb，所以随着我动态调试的次数越来越频繁，gdb上一个接一个的bug经常会让人很恼火。既然苹果打算建立自己的调试器王国，也投入了财力精力，那我们干脆也上手lldb玩玩，看看lldb是不是比gdb要更好用

以下操作在iPhone 5，iOS 8.1上测试，方法同样适用于arm64。更多内容请参照iphonedevwiki144

一、配置debugserver

1. 在iOS中安装debugserver

debugserver运行在iOS上，顾名思义，它作为服务端，实际执行LLDB（作为客户端）传过来的命令，再把执行结果反馈给LLDB，显示给用户，即所谓的“远程调试”。在默认情况下，iOS上并没有安装debugserver，只有在设备连接过一次Xcode，并在Window→Devices菜单中添加此设备后，debugserver才会被Xcode安装到iOS的“/Developer/usr/bin/”目录下。

2. 帮debugserver减肥

snakeninnysiMac:~ snakeninny$ scp root@iOSIP:/Developer/usr/bin/debugserver ~/debugserver

然后帮它减肥：

snakeninnysiMac:~ snakeninny$ lipo -thin armv7s ~/debugserver -output ~/debugserver

注意把这里的“armv7s”换成你的设备所对应的ARM。

3. 给debugserver添加task_for_pid权限

下载ent.xml327到OSX的“/Users/snakeninny/”目录，然后运行：

snakeninnysiMac:~ snakeninny$ /opt/theos/bin/ldid -Sent.xml debugserver

注意，此处的ldid152来自joedj，且“-S”选项与“ent.xml”之间是没有空格的。
正常情况下，上面这条命令会在5秒内执行完毕。如果ldid卡住了，执行超时，就换一种方案：下载ent.plist185到“/Users/snakeninny/”，然后运行：

snakeninnysiMac:~ snakeninny$ codesign -s - --entitlements ent.plist -f debugserver

4. 将经过处理的debugserver拷回iOS

snakeninnysiMac:~ snakeninny$ scp ~/debugserver root@iOSIP:/usr/bin/debugserversnakeninnysiMac:~ snakeninny$ ssh root@iOSIPFunMaker-5:~ root# chmod +x /usr/bin/debugserver

这里之所以把处理过的debugserver存放在iOS的“/usr/bin/”下，而没有覆盖“/Developer/usr/bin/”下的原版debugserver，一是因为原版debugserver是不可写的，无法覆盖；二是因为“/usr/bin/”下的命令无须输入全路径就可以执行，即在任意目录下运行“debugserver”都可启动处理过的debugserver。

二、在iOS上用debugserver来attach进程

debugserver *:1234 -a "SpringBoard"

成功后会显示：

三、在OSX上用lldb远程调试

首先在Terminal中运行lldb，然后输入以下命令：

process connect connect://iOSIP:1234

注意，这条命令执行耗时比较长，很多读者可能会以为iOS/OSX死掉了，其实没有，耐心等一会，看看@iOS应用逆向工程65有没有刷新微博，或在论坛里逛逛吧~
执行成功后会显示：

四、获取ASLR的offset

image list -o -f

显示如下图片：

其中第一列[X]是image的序号，不用管；第二列是ASLR的offset（也就是对应image的虚拟内存slide）；第三列是image的全路径和slide之后的基地址，也不用管~所以第二列就是我们需要的信息。

五、在内存地址上下断点

br s -a 0xb446+0x9a000

或

br s -a 0xA5446

执行成功后显示：

六、更改寄存器的值

按下home键，触发断点，显示如图：

可以看到，lldb把包括断点在内的4条指令显示了出来，方便我们调试。这里，我们将r0的值设为0，让其跳转到0xa5470（0xb470 + 0x9a000）处。更改r0值的lldb命令是：

register write r0 0

接着”ni“两次，我们就可以看到程序执行到了0xa5470处，如图：

七、用lldb启动一个App

debugserver -x backboard *:1234 /path/to/app/executable

如

debugserver -x backboard *:1234 /Applications/MobileNotes.app/MobileNotes

此命令会启动记事本，并断在dyld的第一条指令上，如图所示：

接下来，在lldb中持续输入“ni”，直到出现“error: invalid thread”的字样，如图所示：

稍等片刻，lldb即会停在程序的第一条指令上，如图所示：

此时我们即已处在进程内部，可以开始一窥究竟啦~
相较attach的半路出家，这种方式更有助于我们从头调试一个程序，可以观察到一些变量的初始化过程。

八、更多lldb命令

经过上面的操作，我们可以看到，lldb还是比较方便的，用惯了gdb而对它不熟悉的朋友可以通过lldb与gdb命令对照表323来熟悉lldb的命令。其实有了上面的几个操作，我们就可以开始简单动态分析程序了，相信能把上面六步走通的朋友，已经具备了举一反三的能力，其他需要用到的功能都可以Google到，论坛也汇总了一部分97。好了，debugserver + lldb的简单介绍到此结束，接下来赶紧打开Terminal，hack起来吧~！