iOS敏感词检查

总所周知Apple会对其上架的App进行审核，其中包含敏感词与私有API的检查。常规做法就是获取到敏感词并将其混淆。

比如MiniProgram、小程序等字样会被列入App审核的黑名单当中，极有可能会被拒审。日常开发中需要尽可能规避类似字样，但并非所有类似字样会被检查到。提交Apple审核的是ipa包而非源码，其中有很多信息都被编译器优化，如临时变量名、注释等信息。故避开会打入ipa包内部的消息就可以成功规避审核的风险。

ipa包中具体文件描述可自行搜索学习，大致可分为资源文件与可执行二进制文件。资源文件中图片、视频等非可文本化文件不进行检查，可文本化文件通过grep可以进行扫描与定位。本文主要讲解怎么在可执行二进制文件（Mach-O）中检查敏感词，有人可能会问直接通过string将Mach-O文本化再grep一下就行了，何必大动干戈。string与grep的组合确实能一定程度上检查当前Mach-O中是否包含敏感词，但无法检查中文、代码段中的消息。同时对于一个庞大的Mach-O文件，只检查出是否含有敏感词，而不告知敏感词是类名、方法名还是常量，也不告知属于那个类或哪个文件。这种行为与只告知你app crash了而没有提供crash日志一样都属于耍流氓。

出于对中文、代码段检查的支持与敏感词的描述、定位这两个目的，本文主要讲解如何解析Mach-O中的信息，对Mach-O想要详细了解的朋友可自行搜索学习。

Mach-O主要结构：

• Header部分：描述文件基本信息（如CPU、架构、文件类型、加载命令个数）
• loadCommands部分：描述各个Data部分的内存分布，对系统内核加载器和动态连接器起指导作用
• Data部分：存放代码与数据
  • __TEXT 段: 包含了执行代码以及其他只读数据
  • __DATA段: 包含了程序数据，该段可写；
  • __LINKEDIT段: 含有为动态链接库使用的原始数据，比如符号，字符串，重定位表条目等等。

前两部分都是描述信息与加载信息，核心内容都在Data中，按难易程度分别进行以下检查。

1. 常量检查（__TEXT与__LINKEDIT段）
2. 声明检查（__DATA段）
3. 实现检查（__TEXT段）

常量检查

检查代码中定义的常量，其中包含英文常量与中文常量

• 英文常量存在于__TEXT -> __cstring或__DATA -> __cfstringsection中，该信息通过otool <binary path> -v -s <seg> <sec>即可获取
• 中文常量存在于__TEXT -> __ustringsection中，但由于中文unicode编码形式存储，故otool只能以二进制的形式展示。需自行解析：
  unicode：国家标准化组织定义的，包含了世界上所有的的字符，采用两个字节表示一个字符（即16位）
  ARM处理器用到的指令集分为 ARM 和 THUMB 两种。ARM指令长度固定为32bit，THUMB指令长度固定为16bit，所以 ARM64指令集的指令长度为32bit。
  考虑otool会将信息简化输出，即去除多余的0，需将otool读取到的unicode数据按32bit进行补齐，再根据架构进行高低位颠倒（armv7与arm64需前16位与后16位颠倒，x86_64需前8位与后8位颠倒）才能读取出原本的中文常量。

声明检查

检查类定义、方法定义中是否包含敏感词，解析__TEXT -> _objc_classname与__TEXT -> _objc_methnamesection中的信息即可获。这为了不重复造轮子，使用前人提供的class-dump将所有的声明信息导出，并通过grep进行查找即可。

实现检查

检查__TEXT -> __text代码实现是否包含敏感词，这并非是检查全部的源码实现，毕竟通过ipa包无法还原全源码，这里检查的是通过Mach-O文件中现有的信息反编译出的伪代码。

• otool -tV <binary path>获取__text中的伪代码与对应的偏移地址
• atos -o <binary path> < address>获取对应偏移地址的所属的类与方法