iOS逆向与安全3.1:探索MachO文件
释义
Mach-O全称Mach Object,MacOS以及iOS上的可执行文件,类似于windows上的PE格式 (Portable Executable ), linux上的elf格式 (Executable and Linking Format)
由内核读取,dyld来加载
Mach-O文件格式
-
Mach-O为Mach object文件格式的缩写,它是一种用于可执行文件、目标代码、动态库的文件格式。作为a.out格式的替代,Mach-O提供了更强的扩展性。
-
属于MachO格式的常见文件
•目标文件.o
•库文件
•.a
•.dylib
•Framework
•可执行文件
•dyld
•.dsym
- File指令
• 通过$file 文件路径查看文件类型
通用二进制文件(Universalbinary)
架构类型由以下两字段的交集决定,debug模式下为单一架构
非单一架构:Universalbinary 通用二进制文件
image.png
-
苹果公司提出的一种程序代码。能同时适用多种架构的二进制文件
-
同一个程序包中同时为多种架构提供最理想的性能。
-
因为需要储存多种代码,通用二进制应用程序通常比单一平台二进制的程序要大,但是 由于两种架构有共通的非执行资源,所以并不会达到单一版本的两倍之多
-
而且由于执行中只调用一部分代码,运行起来也不需要额外的内存
-
通过lipo命令操作可执行文件
1、使用lipo-info 可以查看MachO文件包含的架构
$lipo-info MachO文件
lipo -info MachO
2、使用lipo–thin拆分某种架构
$lipo MachO文件 –thin 架构 –output输出文件路径
lipo MachO -thin armv7 -output machO_armv7
3、使用lipo -create 合并多种架构
$lipo $lipo -create MachO1 MachO2 -output 输出文件路径
lipo -create machO_armv7 machO_armv64 -output machO_ merge
MachO文件结构
因为MachO文件本身是一种文件格式,所以我们一定需要了解其文件内部结构。分三大部分。可通过工具MachOView分析
image.png
-
Header
1、Header包含该二进制文件的一般信息
2、字节顺序、架构类型、加载指令的数量等。
3、使得可以快速确认一些信息,比如当前文件用于32位还是64位,对应的处理器是什么、文件类型是什么
Header的数据结构 Xcode中搜索loader.h可查看header
image.png
-
Load commands 加载指令集
Load commands 一张包含很多内容的表,内容包括区域的位置、符号表、动态符号表等。告诉加载器如何设置并且加载二进制数据
image.png
-
Data
Data 通常是对象文件中最大的部分,包含Segement的具体数据,code的位置,可读可写。存放代码,字符常量,类,方法等
text_text 主程序代码
image.png
-
PS:通用二进制文件下包含多个这样的三大块
通过header选择读取那个
image.png
MachO的加载者-Dyld
dyld(the dynamic link editor)是苹果的动态链接器,是苹果操作系统一个重要组成部分,在系统内核做好程序准备工作之后,交由dyld负责余下的工作。
dyld加载流程
- 程序执行从_dyld_start开始
- 进入dyld:main ,dyld的main函数是整个app的启动关键函数
1、 环境配置
2、加载共享缓存库,共享缓存 iOS必须开启的功能
3、实例化主程序
4、加载动态库
5、链接主程序
6、 最关键的:初始化函数
- 经过一系列初始化函数,调用notifySingle函数
- 此函数执行了一个回掉
- 通过断点调试:此函数被_objc_init函数初始化时赋值的一个函数load_images调用
- load_images函数里面执行call_load_methos函数
- 循环调用各个类的load方法
- doModlnitFunctions函数
- 内部会调用全局C++对象的构造函数 带_attribute_()(constructor))的C函数
- 返回主程序的入口函数。开始注入主程序的main函数
读取Macho加密信息
otool -l | Wechat | grep cryp
cryptoff 加密开始位置
cryptsize 加密模块
cryptid 1 加密算法 标识
Macho加密信息
