逆向ARM64内核zImage

主流的旗舰Android手机已经尽数升级到64位，相应的，内核镜像zImage也发生了改变。如果想要用IDA Pro逆向分析arm64的手机内核，特别是完成内核符号的加载，着实需要折腾一番功夫。

从/dev/block或ROM包中提取boot.img，然后用abootimg -x解开得到zImage

如果zImage是gzip压缩的，就gzip -d解压得到kernel

以上两部都是常规项目，下面重点是要从kernel中提取本应显示在/proc/kallsyms下的内核符号，这样IDA Pro加载分析时才更得心应手。参考Bits, Please!的文章中32位的kernel符号提取方法，可以很快想到64位的解决方案：

首先要知道内核加载时的虚拟地址，一种投机的方法是，手机开机后执行：

由于现在手机还没有开启KASLR，所以基地址基本上总是0xffffffc000080000，有了这个地址就可以从kernel中找到symbol table了。内核导出的前两个符号stext，_text等总是指向0xffffffc000080000，所以搜索连续的两个0xffffffc000080000就能找到symbol table。之后按照Bits, Please!的方法就可以导出所有符号了，唯一要注意的是32位到64位，地址长度变成了8字节，内存对齐也从0x10变成了0x100。修改原来的Python脚本，开发了一个arm64解析符号的脚本：

输出的符号会按照/proc/kallsyms打印出来，同时会写入当前目录syms文件。接下来就是让IDA Pro识别syms文件了，我的做法是针对每个符号尝试给特定地址重命名，如果失败就undefine以后再试一次，对于代码段的函数都重新makecode一次：