Mach-O

Mach-O是什么？

Mach-O是Mach object的缩写，是Mac、iOS上用于存储程序、库的标准格式。像iOS的App的可执行文件，就是Mach-O格式

为什么要了解Mach-O？

一是知识储备，用来面试，或者写出更好的代码。

二是实际用途，比如我想去破解别人app，我想知道别人的APP有哪些东西，只有充分了解了这些，才能往他内存当中去注入一些代码。比如说我知道了他的数据段在哪个地方，我才知道可以修改的数据在哪里。或者我知道了他的动态库信息在哪个地方，我就可以修改动态库符号表的信息，就可以链接我自己的一个动态库，注入一些新的动态库。

属于Mach-O格式的文件类型

这些东西可以从苹果源码里查，或者从XNU里查，XNU就是mac系统的内核。（https://opensource.apple.com/tarballs/xnu）

• EXTERNAL_HEADERS/Mach-o/fat.h
• EXTERNAL_HEADERS/mach-o/loader.h

常见的Mach-O文件类型

MH_OBJECT

• 目标文件（.o）。

我们可以简单的创建一个.c文件，生成目标文件后，使用file命令可以看到test.o就是Mach-O的格式。

//编写代码保存为test.c
#include<stdio.h>
int main() {
 printf("test--");
 return 0;
}
//命令行下可以看到Mach-O的文件格式
clang -c test.c 
file test.o 
test.o: Mach-O 64-bit object x86_64

• 静态库文件（.a）,静态库文件就是若干个.o合并在一起。

• MH_EXECUTE 可执行文件

• MH_DYLIB：动态库文件

• .dylib

• .framework/xx

• MH_DYLINKER：动态连接器文件

• /usr/lib/dyld

• MH_DSYM：储存着二进制文件符号信息的文件

• .dSYM/Contents/Resources/DWARF/xx （常用于分析APP的崩溃信息）

• 通用二进制文件

• 同时适用于多重架构的二进制文件
  包含了多重不同架构的独立的二进制文件
  因为需要存储多种架构的代码，通用二进制文件通常比单一的二进制文件要大
  由于两种架构有共同的一些资源，所以并不会达到单一版本的两倍多
  由于执行过程中，只调用一部分代码，运行起来也不需要额外的内存
  因为文件比原来的要大，也成为胖二进制文件。

Mach-o的结构

官方描述：

一个Mach-O文件包含3个主要区域

• Header
  文件类型（比如静态库、动态库、可执行文件等等）、目标架构类型（arm64）、等

• Load commands
  描述文件在虚拟内存中的逻辑结构、布局
  我们平时说的内存，都是虚拟内存，比如我们再内存中创建个对象
  我们都知道程序在内存中，都是段结构，比如数据段，代码段，Load commands就是描述将来程序有哪些段，每个段有多大，里边大概有什么信息

• Raw segment data
  在Load commands中定义的Segment的原始数据。上边提到的Load commands是提供了段的描述信息，而这个Row segment data就代表段里的具体数据。

其实这个Mach-O就相当于一本书，Header就相当于一本书的绪，开头标题。Load commands就相当于一本书的目录，告诉了你每一个段从哪里开始，到哪里结束。Data就相当于一本书的内容。

Header

在读取整个mach-o文件的时候，首先被解析的就是这个Header文件。通过header然后去加载.

Load commands

窥探Mach-O的结构

• 命令行工具

file: 查看Mach-O的文件结构

➜ **Desktop** file Zeus 
Zeus: Mach-O 64-bit executable arm64

• otool：查看Mach-O特定部分和段的内容

➜ **Desktop** otool 

-f print the fat headers //打印胖二进制文件的头信息

-a print the archive header

-h print the mach header // 打印mach文件的头信息，实际上就是打印armv7 arm64二进制文件的头信息

-l print the load commands

-L print shared libraries used //打印依赖的framework

-D print shared library id name

-t print the text section (disassemble with -v)

• lipo：常用于多架构Mach-O文件的处理

• 查看架构信息：lipo -info 文件路径

• 导出某种特定架构：lipo 文件路径 -thin 架构类型 -output 输出文件路径

• 合并多种架构：lipo 文件路径1 文件路径2 -output 输出文件路径

GUI工具

MachOView (https://github.com/gdbinit/MachOView)

dyld和mach-o

dyld 也是Mach-O文件，加载以下类型的Mach-O文件

MH_EXECUTE - 可执行文件

MH_DYLIB - 动态库文件

MH_BUNDLE

总结一下，Mach-O组成

• 首先是一个胖二进制文件的标记，如果是多种架构的就是胖二进制文件。从app store下载时候，会根据当前手机机型下载相应的二进制文件，但是从本地上传到商店的时候，上传的就是一个胖的二进制文件，因为需要适应不同架构的手机安装。

• 接下来就是二进制文件的头信息

• 二进制文件的段信息

• 二进制文件的每个段代表的具体信息。

我们平时常用的反编译软件，其实就是解析了这个mach-o文件，以可视化的方式呈现。