iOS逆向与安全 - 5. Mach-O文件格式

最新推荐文章于 2022-11-18 22:17:02 发布
最新推荐文章于 2022-11-18 22:17:02 发布
阅读量1.7k 收藏 1
点赞数 3
分类专栏: iOS应用逆向工程 文章标签: iOS逆向与安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boring_cat/article/details/79671268
版权

前言

  1. Mach-O文件格式源码
  2. Mach-O苹果官方手册

想要程序跑起来,那么这个可执行文件的格式就需要被当前的操作系统所理解,比如:

  • Linux 操作系统下可执行文件格式是 ELF
  • Windows 的可执行文件格式是 PE32/PE32+
  • Android 的可执行文件格式是 ELF
  • OSX 和 iOS 的可执行文件格式是 Mach-O

准备工具

方式1: 终端查看

来到Mach-O文件所在位置,输入相关命令得到Mach-O文件信息。为了更直观点,推荐方式2查看Mach-O文件。

方式2: 工具查看

首先要下载一个可以查看Mach-O文件格式的工具,本来想用 MachOView ,无奈下载完后打开Mach-O文件后,会闪退,就去逆向论坛找了个大神些的替代MachOView的工具 MachOExplorer 。我这里下载使用的是MachOExplorer,下载完后,打开,点击菜单栏的 file -> Mach-O文件 (此处我用模拟器的运行,打开了Debug-iphonesimulator文件夹,找到ipa,邮件显示包内容后可以获得可执行文件)。

Mach-O文件是什么

在OSX和iOS系统下,平时接触到的可执行文件、库文件、dsym文件、动态库、动态链接器(dyld)都是这种格式。Mach-O的组成结构包括:Header (头部)、Load commands(加载命令)、Data(Data包含多个 Segment(段),Segment中包含多个 Section(节))

Mach-O文件格式

简单介绍dsym文件,后续开篇介绍。

  • dSYM 文件是什么: Xcode编译项目后,会有一个项目同名的 dSYM 文件,dSYM 是保存 16 进制函数地址映射信息的中转文件。
  • dSYM 文件的作用: release 模式打包或上线后,崩溃错误不直观,这时就需要分析 crash report 文件,iOS 设备中会有日志文件保存我们每个应用出错的函数内存地址,通过 Xcode 的 Organizer 可以将 iOS 设备中的 DeviceLog 导出成 crash 文件,这个时候我们就可以通过出错的函数地址去查询 dSYM 文件中程序对应的函数名和文件名。大前提是我们需要有软件版本对应的 dSYM 文件,这也是为什么我们很有必要保存每个发布版本的 Archives 文件了。

Header (头部)

header的数据结构

Mach-O的头部信息,可以使我们快速得到一些信息,比如
32位结构还是64位结构,比如文件类型架构类型等等。
让我们先来看看header的数据结构定义。

/** 32位架构对于header的定义*/
struct mach_header {
    uint32_t    magic;      /* mach magic number identifier */
    cpu_type_t  cputype;    /* cpu specifier */
    cpu_subtype_t   cpusubtype; /* machine specifier */
    uint32_t    filetype;   /* type of file */
    uint32_t    ncmds;      /* number of load commands */
    uint32_t    sizeofcmds; /* the size of all the load commands */
    uint32_t    flags;      /* flags */
};

/** 64位架构对于header的定义*/
struct mach_header_64 {
    uint32_t    magic;      /* mach magic number identifier */
    cpu_type_t  cputype;    /* cpu specifier */
    cpu_subtype_t   cpusubtype; /* machine specifier */
    uint32_t    filetype;   /* type of file */
    uint32_t    ncmds;      /* number of load commands */
    uint32_t    sizeofcmds; /* the size of all the load commands */
    uint32_t    flags;      /* fla
最低0.47元/天 解锁文章
___庄大姐
关注
专栏目录
iOS逆向工程笔记
dhq199023的博客
08-16 1024
Cycript是一款脚本语言,可以看作是Objective-JavaScript,它可以帮助我们轻松测试和验证函数效果。在越狱手机中可以通过注入方式在第三方应用中运行也可以用静态库的方式把cycript集成到自己的应用(MonkeyDev,可以给非越狱iOS第三方App写插件,但是权限受沙盒限制)在越狱手机中安装Cycript在Cydia上搜索Cycript进行安装Cycript使用(注入到第三方进程空间)注入Cycript模块到第三方进程//确认进程名或者进程PID1368??
mach-o格式分析
omnispace的博客
03-13 908
0x00 摘要 人生无根蒂,飘如陌上尘。 分散逐风转,此已非常身。 — 陶渊明 《杂诗》 mach-o格式是OS X系统上的可执行文件格式,类似于windows的PE与linux的ELF,如果不彻底搞清楚mach-o的格式与相关知识,去做其他研究,无异于建造空中阁楼。 每个Mach-O文件斗包含一个Mach-O头,然后是载入命令(Load Commands),最后是数据块(Data
iOS Mach-O文件
叶阳的博客
10-23 909
Mach-O文件格式介绍
iOS 系列译文:Mach-O 可执行文件
tozheng的专栏
11-21 1028
iOS 系列译文:Mach-O 可执行文件 当我们在Xcode中构建一个程序的时候,其中有一部分就是把源文件(.m和.h)文件转变成可执行文件。这个可执行文件包含了将会在CPU(iOS设备上的arm处理器或者你mac上的Intel处理器)运行的字节码。   我们将会过一遍编译器这个过程的做了些什么,同时也看一下可执行文件的内部到底是怎样的。其实,里面的东西比你看到的要多很多。   让
[iOS]分析Mach-O文件
最新发布
Gamin
11-18 2810
Mach-O为Mach Object文件格式的缩写,它是一种用于可执行文件,目标代码,动态库,内核转储的文件格式。 每个Mach-O文件包括一个Mach-O头,然后是一系列的载入命令,再是一个或多个块,每个块包括0到255个段。
iOS逆向安全 - 6. 手动构建App
NULLGIRL
03-26 795
一、如何获取App 使用iTools工具 使用iTools获取,点击导出按钮,导出成功后,可以获取ipa文件。 使用终端输入 file + ipa文件名 ,可以查看到ipa的类型,我们可以发现是一个zip的压缩包。 把ipa解压后,可以得到 Container,这个文件夹是iTools帮我们导出的沙盒目录; iTunesArtwork 图标(iTunes上显示的); iTunesMet...
iOS逆向Mach-O文件(下)
iOS-大鑫
05-24 435
本文主要介绍Mach-O文件的内部结构的演示 Mach-O内部结构 因为MachO文件本身是一种文件格式,所以我们一定需要了解其文件内部结构。 Mach-O 的组成结构主要分为三部分 Header 包含该二进制文件的一般信息 字节顺序、架构类型、加载指令的数量等。 使得可以快速确认一些信息,比如当前文件用于32位还是64位,对应的处理器是什么、文件类型是什么 Load commands(加载命令) 一张包含很多内容的表 内容包括区域的位置、符号表、动态符号表等。 Data(数据) 通常
ios逆向- 02Mach-O文件简介.o.a动态库
Clement_Gu的博客
06-12 2703
Mach-O文件 官方介绍总共有11种格式! 是 Mach Object的缩写,是Mac\iOS 上用于存储程序,库的标准格式! 常见的格式: 1.可执行文件 2.objcet .o 文件(目标文件) .a 静态库文件.其实就是N个.o文件的集合 3.DYLIB: 动态库文件 dylib framework 4.动态连接器 5.DSYM (打包上架用于监测崩溃信息) .o文...
IOS安全逆向、反编译5-Mach-O
12-27 2078
逆向App的基本步骤 界面分析 Cycript、Reveal 代码分析 对Mach-O文件的静态分析 MachOView、class-dump、Hopper Disassembler、ida等 动态调试 对运行中的APP进行代码调试 debugserver、LLDB 4.代码编写 注入代码到APP中 必要时还可能需要重新签名、打包ip ...
IOS应用逆向工程(第2版) 最新高清完整PDF
06-30
iOS逆向其实有很多技巧跟途径,本书对于研究系统原理及攻防安全等方面十分有用。 对于微信和WhatsApp之类的IM应用,交流的信 息是它们的核心;对于银行、支付、电商类的软件, 交易数据和客户信息是它们的核心。所有的核心数据 都是需要重点保护的,于是,开发人员通过反调试、 数据加密、代码混淆等各种手段重重保护自己App, 为的就是增加逆向工程的难度,避免类似的安全问题 影响用户体验。
Mach-O文件
零丁若叹
10-23 961
Mach-O文件简介
iOSMach-O文件
liuyinghui523的专栏
11-14 731
APP的使用过程 源码-编译、链接、签名生成app文件-zip压缩生成IPA文件-上传到App Store-下载到手机。 源码-编译、链接、签名生成app文件-zip压缩生成IPA文件-通过PP助手、iFunBox、Xcode等工具安装到手机。 逆向APP的思路 界面分析 Cycript、Reveal 代码分析 对Mach-O文件的静态分析,MachOView、class-dump、...
Mach-O文件是什么
PengQ1的博客
11-01 325
Mach-O是Mach Object文件类型的缩写,它是一种用于可执行文件,目标代码,动态库,内核转储的文件格式。作为a.out格式的替代,Mach-O提供了更强的扩展性,并提升了符号表信息的访问速度。 ...
iOS APP 逆向安全杂谈之三
weixin_33672400的博客
03-08 217
图3 使用itools查看fstab文件大小 3) 符号链接检测 IOS的磁盘被划分为两个分区:容量较小的是系统分区,另一个是比较大的数据分区。IOS预装的APP会安装在系统分区下的/Applications文件夹下,但是系统分区在设备升级时会被覆盖且容量太小,所以一些越狱工具会重定向这个目录到一个大的用户分区。通常情况下/Application...
Mach-O文件格式分析
weixin_34402090的博客
06-16 503
最近用纯Swift参照非常知名的Aspects写了个Aspect,是基于Runtime进行方法交换,正好之前听说过可以通过fishhook动态修改 C 语言函数,所有就研究了一下,但是要想看懂fishhook,需要先了解Mach-O,这一块一直是我的知识盲点,这一次索性花些时间一并消化一下。苹果源码查看这里。 Mach-O简介 Mach-O,是Mach object文件格式的缩写,是一种可执行文...
Mach-O文件初识
Spencer Yang的博客
05-28 515
一、什么是Mach-O文件? Mach-O 即 Mach Object,它是一种文件格式Mac OS 二进制可执行文件)。 二、Mach-O 文件内容详解 Mach-O 二进制文件由段(segment)组成,可通过 MachOView 查看。 一个segment由零个或者多个section组成,每个section里面会放置不同的数据或代码。 segment需要页对齐(Mac OS 页大小4k,iOS 页大小16k),section不一定是页面对齐的。 segment、section命名规则: (1)se
深入理解Mac OS X Mach-O文件格式
了解Mach-O文件格式对于开发和逆向工程iOSMac OS X应用程序至关重要,因为它涉及到程序的加载、执行和依赖管理。开发者可以通过理解这种格式来优化代码布局、减少内存占用,或者在调试过程中解析程序的行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值