文件

iOS越狱检测手段中，常见的一种方式，是基于文件的检测：

• 基于文件属性的
  • 举例
    • /etc/fstab的大小
• 基于文件打开的
  • 逻辑：能否打开某个（越狱后才会存在的）文件
    • 如果能打开，说明该文件存在，说明是越狱手机
  • 函数类型
    • 基于C语言的（系列）函数
      • open、stat、access等
        • 引申：同样的函数，可以换成更高级的调用方式
          • 通过syscall，传递不同的number编号，实现对应函数的调用
            • 更高级的：把syscall的调用，改为通过svc 0x80的内联汇编，增加被hook拦截的难度
    • 基于iOS语言的
      • NSFileManager、NSURL等
• 基于文件写入的
  • 举例
    • 向/private中尝试能否写入

• 【已解决】越狱iOS中/bin/sh和/bin/bash以及/etc/alternatives/sh关系