使用调试器调试某UE4手游

在刚接触安卓的时候，多么希望有一款像windows上od和x64dbg那样的调试器，但是奈何能接触到的调试器太少了，好在安卓可以编译驱动，能够让我们的程序拥有内核的权限，在runtime的情况下修改内核。于是我便像学习windows调试器那样自建调试体系，制作一款不需要ptrace就能调试程序的调试器。写完基本的调试功能之后，我便寻找了一款海外的ue4手游练练手，简单地找下存储了FNamePool的基址。

首先在ida中找到FNamePool初始化的地方，如下图：

不难猜出s就是申请的FNamePool，而s最后存储到v7中去，而v7最后来源于v2，v2来源于sub_81DB440函数的返回值。

进入到sub_81DB440里边去，如下图：

在sub_81DB440函数里边有一大堆让人眼花缭乱的计算，光看伪代码，难以找出返回值的来源。于是我选择调试这段函数，在调试前观察下返回值的来源，如下图：

最后返回值来源于[x8],而x8来源于[SP,#0xE0+var_A0]（SP+0x40处）。我只需要在调试的过程中一步一步观察SP+0x40地址处内存的变化，然后记录下导致SP+0x40处内存发生变化的指令就行了。

首先在函数头下好断点：

在单步调试的过程中，发现在如下图：

在执行完0x64ecf34d638处的str x11,[x10]的指令后，SP+40就发生了变化，看下ida中的伪代码如下：

在调试的过程中这里的循环经历了三次，最后一次是对应了sp+0x40地址处的变化（好在函数体不是很大，调试起来比较轻松，sp+0x40地址处就写了这一次内存），而SP+0x40的值是来源于x10处，在进入循环之后发现x10的值来源于qwrod_E77F6A8，而经历了三次循环，在调试器中发现相当于:

[SP+0x40]=[[[qwrod_E77F6A8]]];而返回值最终为[[SP+0x40]]也就是[[[[qwrod_E77F6A8]]]],最终发现与GNamePool相关联的基地址为libUE4.so+0xE77F6A8。

本人其实是不太会逆向UE4，也不研究外挂，此次调试游戏也只是测试下编写的调试器，如果有错误恳请诸位大佬指正。目前调试器正在开发中。

目前调试支持的功能：

1.设置软件断点。

2.设置硬件断点(不使用linux的perf体系)

3.接管程序异常（信号）。

4.追踪线程创建、死亡、fork事件。

5.单步调试。

6.暂停线程(进程)。

调试器目前不依赖信号，但是只是玩具罢了，很难用，就驱动比较稳定，估计也会遇到难以应付的场景，并且我不一定能够开发完，就当是学习一下linux内核和ARM64一些底层相关的东西了。后续会增加如何设置内存断点和追踪系统调用，考虑开放源代码。