Mach-O 开头的内存结构

最新推荐文章于 2022-10-23 17:12:06 发布
最新推荐文章于 2022-10-23 17:12:06 发布
阅读量512 收藏
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bingtuohun/article/details/107101284
版权

x = _dyld_get_image_header(0);

x为Mach-O起始地址。

x:

0x000: cf  fa  ed fe  0c  00 00 01 00 00 00 00 02 00  00 00  ????............

0x010: 57 00 00 00 e0  2e 00 00 85 00 21 00 00 00  00 00  W...?.....!.....

0x020: 19 00 00 00 48  00 00 00 5f  5f  50 41 47 45  5a 45  ....H...__PAGEZE

0x030: 52 4f  00  00 00 00 00 00 00 00 00 00 00 00 00  00   RO..............

struct mach_header {
	unsigned long	magic;		/* mach magic number identifier */
	cpu_type_t	cputype;	/* cpu specifier */
	cpu_subtype_t	cpusubtype;	/* machine specifier */
	unsigned long	filetype;	/* type of file */
	unsigned long	ncmds;		/* number of load commands */
	unsigned long	sizeofcmds;	/* the size of all the load commands */
	unsigned long	flags;		/* flags */
};

 

#define FAT_MAGIC 0xcafebabe

#define FAT_CIGAM 0xbebafeca

/* NXSwapLong(FAT_MAGIC) */

struct fat_header

{

uint32_t magic; /* FAT_MAGIC */

uint32_t nfat_arch; /* number of structs that follow */

};

第一个4字节为: cf  fa  ed fe   即0xFEEDFACF为 magic表示64位系统

#define CPU_ARCH_ABI64          0x01000000      /* 64 bit ABI */

#define CPU_TYPE_ARM            ((cpu_type_t) 12)

#define CPU_TYPE_ARM64          (CPU_TYPE_ARM | CPU_ARCH_ABI64)

第二个4字节为: 0c  00 00 01 即0x0100000c. 表示CPU_TYPE_ARM64

第三个4字节为:00 00 00 00 表示 cpusubtype

第四个4字节为: 02 00  00 00 是filetype,表示#define MH_EXECUTE 0x2 /* demand paged executable file */

ncmds:57 00 00 00  表示0x57个说明加载命令条数

sizeofcmds:e0  2e 00 00  表示加载命令大小

#define	MH_PIE           0x200000  	
#define MH_BINDS_TO_WEAK 0x010000
#define MH_TWOLEVEL      0x000080
#define MH_NOUNDEFS      0x000001
#define MH_DYLDLINK      0x000004

flags:85 00 21 00  即0x00210085标志位,该字段用位表示二进制文件支持的功能 

struct segment_command { /* for 32-bit architectures */
	uint32_t	cmd;		/* LC_SEGMENT */
	uint32_t	cmdsize;	/* includes sizeof section structs */
	char		segname[16];	/* segment name */
	uint32_t	vmaddr;		/* memory address of this segment */
	uint32_t	vmsize;		/* memory size of this segment */
	uint32_t	fileoff;	/* file offset of this segment */
	uint32_t	filesize;	/* amount to map from the file */
	vm_prot_t	maxprot;	/* maximum VM protection */
	vm_prot_t	initprot;	/* initial VM protection */
	uint32_t	nsects;		/* number of sections in segment */
	uint32_t	flags;		/* flags */
};

segment_command     

0x020: 19 00 00 00 48  00 00 00 5f  5f  50 41 47 45  5a 45   ....H...__PAGEZE

0x030: 52 4f 00 00 00 00 00 00 00 00 00 00 00 00 00 00       RO..............

0x100d24040: 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00  ................

0x100d24050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

#define LC_SEGMENT_64 0x19   将段内数据加载映射到内存中去,0x48表示 cmdsize

0x028到0x032 是segname[16]; /* segment name */

0x038为vmaddr,这里是0x00

0x040 为vmsize,这里是0x100000000

0x048为fileoff,这里是0x00

0x050为filesize,这里是0

 

bingtuohun
关注
专栏目录
看开源代码如何解析ELF文件
protoss_penguin的博客
06-19 3475
工具ROPgadget 在ROPgadget中有识别并分析多种文件结构,这次主要用这个功能来分析ELF文件格式。 分析的文件为libc.so 上代码 class Binary: def __init__(self, options): self.__fileName = options.binary self.__rawBinary = None
iOS攻防-序章(1)-Mach-O文件结构解析
zhoujabcd的博客
11-22 509
前言:最近因为工作需要,一直在研究iOS的逆向工程。说起来,这个方面涉及到的的知识面实在太广,所以想开一个系列,从基础知识到实战攻防,系统的总结一下最近的所思所学。 第一篇,先从一个基础知识开始:Mach-O文件。 说起Mach-O文件,很多开发人员应该不陌生。即使你没有听过Mach-O,但你也肯定知道exe文件是什么。每个操作系统都有自己的可执行文件,比如Linux下的ELF,Windo...
hex文件格式详解
最新发布
a只如初见的博客
10-23 4万+
hex文件格式详细解读,以及对比了bin文件有何区别,hex文件的存在价值。
MachO文件格式
qq_39153421的博客
07-30 2616
目录 0x1 前言 0x2 例子程序 0x3 MachO文件格式分析 0xx1 Mach Header-可执行文件头 0xx2 Load Commands-加载命令 segment_command结构体定义: dyld_info_command结构体 LC_SYMTAB结构体 LC_LOAD_DYLINKER结构体 LC_UUID结构体 LC_LOAD_DYLIB结构...
各类文件头标志大全
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
01-25 1万+
各类文件的文件头标志  参见  http://www.garykessler.net/library/file_sigs.html  扩展名 文件头标识(HEX) 文件描述 123 00 00 1A 00 05 10 04 Lotus 1-2-3 spreadsheet (v9) file 3gg;
根据文件数据,检测文件类型
sdragonx的专栏
09-06 1961
 这个函数,我会一直扩充下去。很多资料是网上查的,有自己分析的,当然肯定有bug。 目前头疼的是mp3格式的检测,有的mp3文件前面有一些空白,而且长度不固定。 iso的鉴定方式貌似不对,我电脑上的几个iso貌似那个“CD001”的tag不在那几个地址。 mp4理论上能检测常见的一些内部格式,mp4内部格式支持的太多了。 折腾了两天,数据格式,从模板到代码标题上面注释的data_info方...
MachOview查看Mach-O文件结构.zip
01-28
MachOview是一款强大的开源工具,它允许用户以图形化的方式深入探索Mach-O文件的内部结构Mach-O文件结构主要包括以下几个部分: 1. **头文件(Header)**:文件的开头部分,包含了文件类型、CPU架构、加载命令...
Mach-O_File_Format
04-25
1. 文件开头是文件头结构,它标识了文件是一个Mach-O文件。头结构还包括其他基本信息,指明目标架构,并包含影响文件其余部分解释的标志。 2. 紧接着文件头的是一个或多个可变大小的加载命令(LoadCommands),这些...
iOS启动优化之Mach-O相关术语
wo190096的博客
09-15 333
这篇文章讲的是OS启动优化相关的理论部分。 Mach-O术语 Mach-O是运行时可执行文件的文件类型,这些文件类型包括: 可执行文件:应用中最重要的二进制文件,也是应用扩展文件的主二进制文件。 Dylib:动态链接库(又称DSO或DLL)。动态链接库包括:iOS中用到的所有系统framework,加载OC runtime方法的libobjc,系统级别的libSystem,例如libdispat...
iOS逆向之Mach-O文件(上)
iOS-大鑫
05-22 394
本文主要介绍Mach-O文件格式以及通用二进制文件 Mach-O文件概述 Mach-O其实是Mach Object文件格式的缩写,是mac以及iOS上可执行文件的格式, 类似于windows上的PE格式 (Portable Executable ), linux上的elf格式 (Executable and Linking Format) Mach-O是一种用于可执行文件、目标代码、动态库的文件格式。作为a.out格式的替代,Mach-O提供了更强的扩展性。 Mach-O文件格式 常见的Mac
文档格式签名列表
richerg85的专栏
09-16 5105
最近在做解压缩相关项目,需要处理不同格式的文档,各个文件格式,解析器如何知道一个文件是什么格式,主要是文件二进制头(file signatures-文件签名)来决定的。       例如如何确定一个文件是apk(同zip等压缩文件)文件,需要解析其前四个字节“50 4B 03 04”来确定。       反编译apk文件中的dex文件,其前8个字节是固定的(“64 65 78 0A 3
05 hex 格式_各种常见文件的hex文件头
weixin_39699670的博客
12-21 1618
扩展名文件头标识(HEX)文件描述12300 00 1A 00 05 10 04Lotus 1-2-3 spreadsheet (v9) file3gg; 3gp; 3g200 00 00 nn 66 74 79 70 33 67 703rd Generation Partnership Project 3GPP (nn=0x14) and 3GPP2 (nn=0x20) multimedia...
玩转Hex文件
嵌入式软件实战派
10-18 2976
手把手教你玩转Hex文件
HEX文件格式解析(转)
IT技术猿猴的博客
08-31 6163
Hex格式文件有两种,一种是Intel的Intel HEX,另一种是Motorola(摩托罗拉)的SREC(又称MOT)。 Intel HEX 文件是由一行行符合Intel HEX 文件格式的文本所 构 成的ASCII 文本文件。在Intel HEX 文件中,每一行包含一 个 HEX 记录 。 这 些 记录 由 对应 机器 语 言 码 和/ 或常量 数 据的十六 进 制 编码数 字 组 成。In...
hex文件格式
王昌时的博客
03-06 1117
hex文件格式是可以烧写到单片机中,被单片机执行的一种文件格式,生成Hex文件的方式有很多种,可以通过不同的编译器将C程序或者汇编程序编译生成hex。 Hex文件格式解析 Hex文件如果用特殊的程序来查看(一般记事本就可以实现)。打开后可发现,整个文件以行为单位,每行以冒号开头,内容全部为16进制码(以ASCII码形式显示)。Hex文件可以按照如下的方式进行拆分来分析其中的内容: ...
ffmpeg为何用c语言编译,02 编写C语言,调用ffmpeg
weixin_29340419的博客
05-18 433
假设定位到目录/home/jiangqianghua/Desktop/ffmpeg里面builded保存ffmpeg编译好的文件夹里面ctest是编写c测试文件夹1 配置环境变量>>vim/etc/profile末尾添加LD_LIBRARY_PATH=/home/jiangqianghua/Desktop/ffmpeg/ffmpeg-2.8.13/builded/libexport...
Linux系统下GCC常用命令以及EFF文件格式
m0_59416558的博客
10-10 293
文章目录前言一、准备工作二、编译过程1. 预处理2. 编译3. 汇编4. 链接三、分析 ELF 文件1. ELF 文件的段2. 反汇编 ELF 前言 GCC(GNU C Compiler)是编译工具。本文所要介绍的将 C/C++语言编写的程序转换成为处理器能够执行的二进制代码的过程即由编译器完成。 一、准备工作 由于 GCC 工具链主要是在 Linux 环境中进行使用,因此本文也将以 Linux 系统作为工作环 境。为了能够 演示编译的整个 过程,先创建一 个工作目test0,然后用文本编辑器生成一个 C
Mach-O文件初识
Spencer Yang的博客
05-28 519
一、什么是Mach-O文件? Mach-O 即 Mach Object,它是一种文件格式(Mac OS 二进制可执行文件)。 二、Mach-O 文件内容详解 Mach-O 二进制文件由段(segment)组成,可通过 MachOView 查看。 一个segment由零个或者多个section组成,每个section里面会放置不同的数据或代码。 segment需要页对齐(Mac OS 页大小4k,iOS 页大小16k),section不一定是页面对齐的。 segment、section命名规则: (1)se
X86_64 ABI调用约定
单核CPU的小朋友的博客
12-10 3万+
cdecl(代表C声明)是一种调用约定,它起源于C编程语言,许多C编译器都将它用于x86体系结构。在cdecl中,子例程参数在堆栈中传递。在EAX寄存器中返回整数值和内存地址,在ST0 x87寄存器中返回浮点值。寄存器EAX、ECX和EDX被调用保存,其余的被调用保存。当调用新函数时,x87浮点寄存器ST0到ST7必须为空(弹出或释放),而ST1到ST7在退出函数时必须为空。ST0在不用于返回值时...
深入理解Mac OS X Mach-O文件格式
Mach-O文件结构主要包括三个核心部分:Header、Load Commands 和 Data。 1. **Header**: - Header包含了关于可执行文件的基本信息,如文件类型(是否为可执行文件、动态库等)、CPU架构(例如x86, arm64),以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值