12 - Mach-O

2021-05-10 本文已影响0人卡布奇诺_95d2

Mach-O 简介

Mach-O其实是Mach Object文件格式的缩写，是MacOS和iOS上一种用于可执行文件、目标代码、动态库的文件格式。类似于Windows上的PE格式(Protable Executable)，Linux上的ELF格式(Executable and Linking Format)。Mach-O作为a.out格式的替代，提供了更强的扩展性。

Mach-O 文件类型

16206262137187.jpg

属于Mach-O格式的常见文件：

目标文件 *.o
库文件
- *.a
- *.dylib
- *.framework
可执行文件
dyld
*.dsym

Mach-O 文件结构

16204596529344.jpg

由上图可以看出，Mach-O主要分三大块：

Header：保存Mach-O的一些基本信息，包括平台、文件类型、指令数、指令总大小、dyld标记Flags等。
Load commands：加载Mach-O文件时会使用这部分数据来确定内存分布，对系统内核加载器和动态连接器起指导作用。
Data：每个Segment的具体数据保存在这里，包含具体的代码、数据等。

Header

Header的数据结构如下：

/*
 * The 32-bit mach header appears at the very beginning of the object file for
 * 32-bit architectures.
 */
struct mach_header {
    uint32_t    magic;      /* mach magic number identifier */
    cpu_type_t  cputype;    /* cpu specifier */
    cpu_subtype_t   cpusubtype; /* machine specifier */
    uint32_t    filetype;   /* type of file */
    uint32_t    ncmds;      /* number of load commands */
    uint32_t    sizeofcmds; /* the size of all the load commands */
    uint32_t    flags;      /* flags */
};

/* Constant for the magic field of the mach_header (32-bit architectures) */
#define MH_MAGIC    0xfeedface  /* the mach magic number */
#define MH_CIGAM    0xcefaedfe  /* NXSwapInt(MH_MAGIC) */

/*
 * The 64-bit mach header appears at the very beginning of object files for
 * 64-bit architectures.
 */
struct mach_header_64 {
    uint32_t    magic;      /* mach magic number identifier */
    cpu_type_t  cputype;    /* cpu specifier */
    cpu_subtype_t   cpusubtype; /* machine specifier */
    uint32_t    filetype;   /* type of file */
    uint32_t    ncmds;      /* number of load commands */
    uint32_t    sizeofcmds; /* the size of all the load commands */
    uint32_t    flags;      /* flags */
    uint32_t    reserved;   /* reserved */
};

/* Constant for the magic field of the mach_header_64 (64-bit architectures) */
#define MH_MAGIC_64 0xfeedfacf /* the 64-bit mach magic number */
#define MH_CIGAM_64 0xcffaedfe /* NXSwapInt(MH_MAGIC_64) */

各变量释义：

名称	定义
magic	Mach-O魔数。如： FAT:0xcafebabe ARMv7:0xfeedface ARM64:0xfeedfacf
cputype、cpusubtype	CPU架构及子版本
filetype	文件类型，共有11种宏定义类型，如： MH_EXECUTABLE(可执行二进制文件) MH_OBJECT(目标文件) MH_DYLIB(动态库)
ncmds	加载命令的数量
sizeofcmds	所有加载命令的大小
flags	dyld加载需要的一些标记，有28种宏定义，具体看源码，其中MH_PIE表示启用ASLR地址空间布局随机化
reserved	64位保留字段

如何查看Mach-O文件的header信息

使用objdump指令

Mac ~/testDemo.app objdump --macho -private-header testDemo
Mach header
      magic cputype cpusubtype  caps    filetype ncmds sizeofcmds      flags
MH_MAGIC_64   ARM64        ALL  0x00     EXECUTE    23       2888   NOUNDEFS DYLDLINK TWOLEVEL PIE

使用otools指令

Mac ~/testDemo.app otool -h testDemo
testDemo:
Mach header
      magic  cputype cpusubtype  caps    filetype ncmds sizeofcmds      flags
 0xfeedfacf 16777228          0  0x00           2    23       2888 0x00200085

使用MachOView查看

16206293716647.jpg

Load Commands

数据结构如下：

/*
 * The load commands directly follow the mach_header.  The total size of all
 * of the commands is given by the sizeofcmds field in the mach_header.  All
 * load commands must have as their first two fields cmd and cmdsize.  The cmd
 * field is filled in with a constant for that command type.  Each command type
 * has a structure specifically for it.  The cmdsize field is the size in bytes
 * of the particular load command structure plus anything that follows it that
 * is a part of the load command (i.e. section structures, strings, etc.).  To
 * advance to the next load command the cmdsize can be added to the offset or
 * pointer of the current load command.  The cmdsize for 32-bit architectures
 * MUST be a multiple of 4 bytes and for 64-bit architectures MUST be a multiple
 * of 8 bytes (these are forever the maximum alignment of any load commands).
 * The padded bytes must be zero.  All tables in the object file must also
 * follow these rules so the file can be memory mapped.  Otherwise the pointers
 * to these tables will not work well or at all on some machines.  With all
 * padding zeroed like objects will compare byte for byte.
 */
struct load_command {
    uint32_t cmd;       /* type of load command */
    uint32_t cmdsize;   /* total size of command in bytes */
};

Load Commands的数目和总大小已经在Header中记录，见ncmds和sizeofcmds。所有加载指令都是以cmd、cmdsize开头，cmd字段表示该指令的类型，cmdsize字段以字节为单位，主要记录偏移量，以便于Load Commands指针查找下一条加载指令。32位架构的cmdsize是以4字节的倍数，64位结构的cmdsize是以8字节的倍数，不够用0填充。

Load Commands中常见的加载指令：

LC_SEGMENT_64：定义一段(Segment)，加载后被映射到进程的内存空间中，包括里面的节（Section）
LC_DYLD_INFO_ONLY：记录有关链接的信息，包括在__LINKEDIT中动态链接的相关信息的具体偏移与大小（重定位，绑定，弱绑定，懒加载绑定，导出信息等），ONLY表示该指令是程序运行所必需的。
LC_SYMTAB：定义符号表和字符串表，链接文件时被dyld使用，也用于调试器映射符号到源文件。符号表定义的本地符号仅用于调试，而已定义和未定义的external符号被链接器使用
LC_DYSYMTAB：将符号表中给出符号的额外信息提供给dyld
LC_LOAD_DYLINKER：dyld的默认路径
LC_UUID：Mach-O唯一ID
LC_VERSION_MIN_IPHONES：系统要求的最低版本
LC_SOURCE_VERSION：构建二进制文件的源代码版本号
LC_MAIN：应用程序入口，dyld的_main函数获取该地址，然后跳转
LC_ENCRYPTION_INFO_64：文件加密标志，加密内容偏移和大小
LC_LOAD_DYLIB：依赖的动态库，含动态库名，版本号等信息
LC_RPATH：@rpath搜索路径
LC_DATA_IN_CODE：定义在代码段内的非指令的表
LC_CODE_SIGNATURE：代码签名信息

如何查看Mach-O文件的Load Command信息

使用objdump指令

objdump --macho --private-headers 【Mach-O路径】

16204683422789.jpg

使用otool指令

 Mac ~/testDemo.app otool -l testDemo

16206339480322.jpg

使用MachOView查看

16206336854994.jpg

Data

由多个二进制组成，逐一排列，包含__TEXT代码、__DATA代码、符号表，存储实际的代码和数据

数据结构如下：

struct section_64 { /* for 64-bit architectures */
    char        sectname[16];   /* 节名 */
    char        segname[16];    /* 所属段名 */
    uint64_t    addr;       /* 映射到虚拟地址的偏移 */
    uint64_t    size;       /* 节的大小 */
    uint32_t    offset;     /* 节在当前架构文件中的偏移 */
    uint32_t    align;      /* 节的字节对齐大小n，2^n */
    uint32_t    reloff;     /* 重定位入口的文件偏移 */
    uint32_t    nreloc;     /* 重定位入口个数 */
    uint32_t    flags;      /* 节的类型和属性*/
    uint32_t    reserved1;  /* reserved (for offset or index) */
    uint32_t    reserved2;  /* reserved (for count or sizeof) */
    uint32_t    reserved3;  /* 保留位，以上两同理 */
};

Section节已经是最小的分类了，Data的大部分数据内容集中在__TEXT、__DATA这两段中。

__TEXT节	含义
__text	程序可执行代码区域
__stubs	间接符号存根，用于跳转到懒加载指针表
__stubs_helper	懒加载符号加载辅助函数
__cstring	只读的C字符串，包含OC的部分字符串和属性名

__DATA节	含义
__nl_symbol_ptr	非懒加载指针表，dyld加载时立即绑定值
__la_symbol_ptr	懒加载指针表，第1次调用才绑定值
__got	非懒加载全局指针表
__mod_init_func	constructor函数
__cfstring	OC字符串

Mach-O 学习使用过程中用到的指令

file命令

功能：用于辨识文件类型
语法：

file [-bcLvz][-f <名称文件>][-m <魔法数字文件>...][文件或目录...]

参数：
- -b:列出辨识结果时，不显示文件名称
- -c:详细显示指令执行过程，便于排错或分析程序执行的情形
- -f<名称文件>:指定名称文件，其内容有一个或多个文件名称时，让file依序辨识这些文件，格式为每列一个文件名称
- -F:使用指定分隔符号替换输出文件名后的默认的"："分隔符
- -L:直接显示符号连接所指向的文件的类别
- -m<魔法数字文件>:指定魔法数字文件
- -v:显示版本信息
- -z:尝试去解读压缩文件的内容
- -i:输出mime类型的字符串
- \[文件或目录...\]:要确定类型的文件列表，多个文件之间使用空格分开，可以使用shell通配符匹配多个文件
示例：

//不加参数
[root@localhost ~]# file install.log
install.log: UTF-8 Unicode text

//-b:列出辨识结果时，不显示文件名称
[root@localhost ~]# file -b install.log
UTF-8 Unicode text

//-i:输出mime类型的字符串
[root@localhost ~]# file -i install.log
install.log: text/plain; charset=utf-8

//-F:使用指定分隔符号替换输出文件名后的默认的"："分隔符
[root@localhost ~]# file -F "--" install.log
install.log-- ASCII text
[root@localhost ~]# file -F "++" install.log
install.log++ ASCII text

otool命令

功能：用来查看可执行文件的Mach-O信息
语法：

otool [-arch arch_type] [-fahlLDtdorSTMRIHGvVcXmqQjCP] [-mcpu=arg] [--version] <object file> ...

参数：

-f print the fat headers
-a print the archive header
-h print the mach header
-l print the load commands
-L print shared libraries used
-D print shared library id name
-t print the text section (disassemble with -v)
-x print all text sections (disassemble with -v)
-p <routine name>  start dissassemble from routine name
-s <segname> <sectname> print contents of section
-d print the data section
-o print the Objective-C segment
-r print the relocation entries
-S print the table of contents of a library (obsolete)
-T print the table of contents of a dynamic shared library (obsolete)
-M print the module table of a dynamic shared library (obsolete)
-R print the reference table of a dynamic shared library (obsolete)
-I print the indirect symbol table
-H print the two-level hints table (obsolete)
-G print the data in code table
-v print verbosely (symbolically) when possible
-V print disassembled operands symbolically
-c print argument strings of a core file
-X print no leading addresses or headers
-m don't use archive(member) syntax
-B force Thumb disassembly (ARM objects only)
-q use llvm's disassembler (the default)
-Q use otool(1)'s disassembler
-mcpu=arg use `arg' as the cpu for disassembly
-j print opcode bytes
-P print the info plist section as strings
-C print linker optimization hints
--version print the version of /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/otool

示例：

1、查看App所使用的动态库

Mac ~/testDemo.app otool -L testDemo
testDemo:
    /System/Library/Frameworks/Foundation.framework/Foundation (compatibility version 300.0.0, current version 1774.101.0)
    /usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0)
    /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1292.60.1)
    /System/Library/Frameworks/CoreFoundation.framework/CoreFoundation (compatibility version 150.0.0, current version 1774.101.0)
    /System/Library/Frameworks/UIKit.framework/UIKit (compatibility version 1.0.0, current version 4006.0.0)

2、查看ipa是否已经砸壳

Mac ~/testDemo.app otool -l testDemo| grep crypt
     cryptoff 16384
    cryptsize 16384
      cryptid 0

其中：cryptid为0表示已经砸壳。cryptid为1表示未砸壳。

3、查看Mach-O头部信息

Mac ~/testDemo.app otool -h testDemo
testDemo:
Mach header
      magic  cputype cpusubtype  caps    filetype ncmds sizeofcmds      flags
 0xfeedfacf 16777228          0  0x00           2    23       2888 0x00200085

通用二进制文件

通用二进制(Universal binary)是苹果公司提出的一种程序代码，使程序能以本地程序的形式运行在使用PowerPC或者英特尔微处理器（x86）的麦金塔电脑上，在同一个程序包中同时为两种架构提供最理想的性能。硬件方面，苹果电脑公司已经将其产品线上的所有麦金塔电脑在2006年内转为英特尔处理器，相对应的软件方面，苹果最早是在2005年世界开发者大会(WWDC)上就发布了通用二进制的内容来适应这种转换。当程序在操作系统中运行后，将自动检测通用二进制代码，根据使引用的架构自动选择合适的代码来执行，实现无损的本地程序运行速度

查看当前Mach-O的包含的架构信息

lipo -info 【MachO文件】

//示例
lipo -info WeChat
Architectures in the fat file: WeChat are: armv7 armv7s arm64

当Mach-O包含多种架构时，可对其进行架构拆分

lipo [MachO文件] -thin 架构 -output 输出文件路径

//示例
lipo WeChat -thin arm64 -output WeChat_arm64
lipo -info WeChat_arm64
Architectures in the fat file: WeChat_arm64 are: arm64

lipo WeChat -thin armv7 -output WeChat_armv7
lipo -info WeChat_armv7
Architectures in the fat file: WeChat_armv7 are: armv7

可对多种架构的Mach-O进行合并

lipo -create MachO1 MachO2 -output 输出文件路径

//示例
lipo -create WeChat_arm64 WeChat_armv7 -output WeChat_64_v7

lipo -info WeChat_64_v7
Architectures in the fat file: WeChat_64_v7 are: armv7 arm64

总结

Mach-O是一种文件格式，包含目标文件、可执行文件、静态库、动态库等，可用file命令来查看文件类型。
Mach-O文件结构包含三部分：
- Header：用来快速确定该文件的CPU类型、文件类型
- Load Commands：指示加载器如何设置并加载二进制数据
- Data：存放代码、数据、字符串常量、类、方法等数据
file命令：用于辨识文件类型
otool命令：用来查看可执行文件的Mach-O信息
通用二进制是集合多种架构，也称为”胖二进制“，可通过lipo命令进行架构的查看、拆分、合并等操作