iPhone Mach-O文件格式与代码签名

最新推荐文章于 2021-10-24 10:53:08 发布
最新推荐文章于 2021-10-24 10:53:08 发布
阅读量2k 收藏
点赞数
分类专栏: ios
错误现象
1) 直接运行
/Applications/MobileFonex.app/MobileFonex
Killed: 9

2)gdb调试
Program received signal EXC_BAD_ACCESS, Could not access memory.
Reason: 50 at address: 0×00043030

背景知识

所有的可执行文件,库文件都需要Apple签名才可以运行在iOS中
内核会在调用execve之前检测Mach-O文件中的LC_CODE_SIGNATURE段是否有效和可信任

iOS内核以及内核扩展 都以 加密的形式 存储在KernelCache文件中
可以在 the iphone wiki上查找解密的key

一般来说,越狱后,Codesigning是禁止的, 可执行的代码页 是可写的

iPhone 上的每个二进制文件都有数字签名
每个内存页都有sha1校验
签名由内核进行检查
访问 标记为可执行的页面时 执行检查
如果签名不合法,进程被内核杀掉


如何检查二进制文件的数字签名

otool -l debugserver | grep LC_CODE_SIGNATURE         cmd LC_CODE_SIGNATURE

或者
grep -b “Apple Code Signing Certification Authority” debugserver

用codesign能显示更详细的签名信息

  1. codesign -dvvvv debugserver

  3. Executable=/private/tmp/x/debugserver

  5. Identifier=debugserver

  7. Format=Mach-O thin (armv7)

  9. CodeDirectory v=20100 size=900 flags=0x0(none) hashes=37+5 location=embedded

  11. CDHash=577b90c4091310762cbd2350e4e32ee919deccf2

  13. Signature size=1599

  15. Authority=iPhone Developer

  17. Signed Time=Feb 9, 2012 11:29:10 PM

  19. Info.plist=not bound

  21. Sealed Resources=none

  23. Internal requirements count=1 size=112复制代码
复制代码


参考资料

https://developer.apple.com/library/mac/#technotes/tn2206/_index.html

Mach-O文件格式

Mach-O 文件分为三个区域: 头部、载入命令区Section和原始段数据.
头部和载入命令区描述文件功能、布局和其他特性;
原始段数据包含由载入命令引用的字节序列。

otools -l 可以查看
Section
sectname __const
segname __TEXT
addr 0×00043908
size 0x000002fc
offset 272648
align 2^2 (4)
reloff 0
nreloc 0
flags 0×00000000
reserved1 0
reserved2 0

Load command 7
cmd LC_UUID
cmdsize 24
uuid 5202B55F-F094-2350-9B4C-8E2C83358B11

Load command 8
cmd LC_UNIXTHREAD
cmdsize 84
flavor ARM_THREAD_STATE
count ARM_THREAD_STATE_COUNT
r0 0×00000000 r1 0×00000000 r2 0×00000000 r3 0×00000000
r4 0×00000000 r5 0×00000000 r6 0×00000000 r7 0×00000000
r8 0×00000000 r9 0×00000000 r10 0×00000000 r11 0×00000000
r12 0×00000000 sp 0×00000000 lr 0×00000000 pc 0×00002000
cpsr 0×00000000

可以看到 start 的地址是 0×2000

Load command 9
cmd LC_ENCRYPTION_INFO
cmdsize 20
cryptoff 4096
cryptsize 270336
cryptid 0

Load command 23
cmd LC_CODE_SIGNATURE
cmdsize 16
dataoff 590896
datasize 3040

注意到 LC_ENCRYPTION_INFO的cryptid是0,表示没有加密

http://opensource.apple.com/source/security_systemkeychain/security_systemkeychain-55105/src/cs_dump.cpp

// if the code is not signed, stop here
if (!api.get(kSecCodeInfoIdentifier))
MacOSError::throwMe(errSecCSUnsigned);

https://developer.apple.com/library/mac/#documentation/DeveloperTools/Conceptual/MachORuntime/Reference/reference.html

目标格式
存储目标代码和相关的元数据的文件格式
在内存中建立进程镜像的蓝本
通常由编译器或者汇编器产生

布局
3个主要部分:header, load comands和sections
每个segemtn comand同多个section相关联

header结构可以在 /usr/include/mach-o/loader.h 找到

  1. /*

  3. * The 32-bit mach header appears at the very beginning of the object file for

  5. * 32-bit architectures.

  7. */

  9. struct mach_header {

  11.         uint32_t        magic;                /* mach magic number identifier */

  13.         cpu_type_t        cputype;        /* cpu specifier */

  15.         cpu_subtype_t        cpusubtype;        /* machine specifier */

  17.         uint32_t        filetype;        /* type of file */

  19.         uint32_t        ncmds;                /* number of load commands */

  21.         uint32_t        sizeofcmds;        /* the size of all the load commands */

  23.         uint32_t        flags;                /* flags */

  25. };复制代码
复制代码

可以用 otool -h 命令查看

load commmand直接跟在 header 部分的后面,结构定义如下

  1. /*

  3. * The load commands directly follow the mach_header.  The total size of all

  5. * of the commands is given by the sizeofcmds field in the mach_header.  All

  7. * load commands must have as their first two fields cmd and cmdsize.  The cmd

  9. * field is filled in with a constant for that command type.  Each command type

  11. * has a structure specifically for it.  The cmdsize field is the size in bytes

  13. * of the particular load command structure plus anything that follows it that

  15. * is a part of the load command (i.e. section structures, strings, etc.).  To

  17. * advance to the next load command the cmdsize can be added to the offset or

  19. * pointer of the current load command.  The cmdsize for 32-bit architectures

  21. * MUST be a multiple of 4 bytes and for 64-bit architectures MUST be a multiple

  23. * of 8 bytes (these are forever the maximum alignment of any load commands).

  25. * The padded bytes must be zero.  All tables in the object file must also

  27. * follow these rules so the file can be memory mapped.  Otherwise the pointers

  29. * to these tables will not work well or at all on some machines.  With all

  31. * padding zeroed like objects will compare byte for byte.

  33. */

  35. struct load_command {

  37.         uint32_t cmd;                /* type of load command */

  39.         uint32_t cmdsize;        /* total size of command in bytes */

  41. };复制代码
复制代码

一个查看Mach-O结构的工具  MachOView

http://sourceforge.net/projects/machoview/files/current/

第3部分是segments, 每个segment含有0个到多个sections
每个section都含有数据或代码
每个secgment都定义了一个虚拟内存的区域, 动态连接器 把这个区域映射到进程的地址空间。

在用户级的完全链接后的Mach-O 文件中,最后一个segement是__LINKEDIT段。
这个segment含有 link edit 信息的表,比如符号表,字符串表,等。

segment通过指定一个in-memory size就可以在运行时要求比实际磁盘中更多的大小
连接器生成的__PAGEZERO段, 有一个虚拟内存大小,而在磁盘上的空间是0. 因为__PAGEZERO不包含数据,所以不需要占用任何磁盘空间

静态链接器 会生成一个 __PAGEZERO段 作为可执行文件的第1个段。这个段位于虚拟内存的0地址, 并没有保护权限设置。这样就可保证程序访问NULL指针时,会立刻crash. 该段的大小是一个 当前的体系结构的完整的虚拟内存页面的大小(对于arm,intel 和powerpc都是4096个字节)

__TEXT段 含有可执行代码和只读的数据。 为了让内核将它 直接从可执行文件映射到共享内存, 静态连接器设置该段的虚拟内存权限为不允许写。当这个段被映射到内存后,可以被所有进程共享。(这主要用在frameworks, bundles和共享库等程序中,也可以为同一个可执行文件的多个进程拷贝使用)

__LINKEDIT段 含有为动态链接库使用的原始数据,比如符号,字符串,重定位表条目等等。

节/Section

一个段可能含有多个节。
__TEXT, __text 可执行机器码
__TEXT, __cstring 常量C字符串

  1. /*

  3. * The segment load command indicates that a part of this file is to be

  5. * mapped into the task's address space.  The size of this segment in memory,

  7. * vmsize, maybe equal to or larger than the amount to map from this file,

  9. * filesize.  The file is mapped starting at fileoff to the beginning of

  11. * the segment in memory, vmaddr.  The rest of the memory of the segment,

  13. * if any, is allocated zero fill on demand.  The segment's maximum virtual

  15. * memory protection and initial virtual memory protection are specified

  17. * by the maxprot and initprot fields.  If the segment has sections then the

  19. * section structures directly follow the segment command and their size is

  21. * reflected in cmdsize.

  23. */

  25. struct segment_command { /* for 32-bit architectures */

  27.         uint32_t        cmd;                /* LC_SEGMENT */

  29.         uint32_t        cmdsize;        /* includes sizeof section structs */

  31.         char                segname[16];        /* segment name */

  33.         uint32_t        vmaddr;                /* memory address of this segment */

  35.         uint32_t        vmsize;                /* memory size of this segment */

  37.         uint32_t        fileoff;        /* file offset of this segment */

  39.         uint32_t        filesize;        /* amount to map from the file */

  41.         vm_prot_t        maxprot;        /* maximum VM protection */

  43.         vm_prot_t        initprot;        /* initial VM protection */

  45.         uint32_t        nsects;                /* number of sections in segment */

  47.         uint32_t        flags;                /* flags */

  49. };复制代码
复制代码

要注意segement的cmdsize要包括它拥有的所有的section的结构的大小

fileoff 是从文件偏移的哪里开始映射到 vmaddr
filesize可以比 vmsize小

更在segment_command后面的就是 它所用于的 section数据结构的数组

  1. /*

  3. * A segment is made up of zero or more sections.  Non-MH_OBJECT files have

  5. * all of their segments with the proper sections in each, and padded to the

  7. * specified segment alignment when produced by the link editor.  The first

  9. * segment of a MH_EXECUTE and MH_FVMLIB format file contains the mach_header

  11. * and load commands of the object file before its first section.  The zero

  13. * fill sections are always last in their segment (in all formats).  This

  15. * allows the zeroed segment padding to be mapped into memory where zero fill

  17. * sections might be. The gigabyte zero fill sections, those with the section

  19. * type S_GB_ZEROFILL, can only be in a segment with sections of this type.

  21. * These segments are then placed after all other segments.

  23. *

  25. * The MH_OBJECT format has all of its sections in one segment for

  27. * compactness.  There is no padding to a specified segment boundary and the

  29. * mach_header and load commands are not part of the segment.

  31. *

  33. * Sections with the same section name, sectname, going into the same segment,

  35. * segname, are combined by the link editor.  The resulting section is aligned

  37. * to the maximum alignment of the combined sections and is the new section's

  39. * alignment.  The combined sections are aligned to their original alignment in

  41. * the combined section.  Any padded bytes to get the specified alignment are

  43. * zeroed.

  45. *

  47. * The format of the relocation entries referenced by the reloff and nreloc

  49. * fields of the section structure for mach object files is described in the

  51. * header file .

  53. */

  55. struct section { /* for 32-bit architectures */

  57.         char                sectname[16];        /* name of this section */

  59.         char                segname[16];        /* segment this section goes in */

  61.         uint32_t        addr;                /* memory address of this section */

  63.         uint32_t        size;                /* size in bytes of this section */

  65.         uint32_t        offset;                /* file offset of this section */

  67.         uint32_t        align;                /* section alignment (power of 2) */

  69.         uint32_t        reloff;                /* file offset of relocation entries */

  71.         uint32_t        nreloc;                /* number of relocation entries */

  73.         uint32_t        flags;                /* flags (section type and attributes)*/

  75.         uint32_t        reserved1;        /* reserved (for offset or index) */

  77.         uint32_t        reserved2;        /* reserved (for count or sizeof) */

  79. };复制代码
复制代码

其中, addr 指定这个section在虚拟内存中的地址
offset 制定这个section在可执行文件中 的偏移
reloff 第1个重定位条目在文件中的偏移

  1. /*

  3. * The linkedit_data_command contains the offsets and sizes of a blob

  5. * of data in the __LINKEDIT segment.

  7. */

  9. struct linkedit_data_command {

  11.     uint32_t        cmd;                /* LC_CODE_SIGNATURE or LC_SEGMENT_SPLIT_INFO */

  13.     uint32_t        cmdsize;        /* sizeof(struct linkedit_data_command) */

  15.     uint32_t        dataoff;        /* file offset of data in __LINKEDIT segment */

  17.     uint32_t        datasize;        /* file size of data in __LINKEDIT segment  */

  19. };复制代码
复制代码

可以用 pagestuff mybinary -a 来查看

File Page 144 contains data of code signature
File Page 145 contains data of code signature

签名动作会修改可执行文件
对一个程序进行签名,会修改它的主执行文件。
1)如果你的程序有一个自验证模式,检查到文件被改变,那么你的代码会拒绝运行
2)如果在签名前附加了数据到 可执行文件上,那么签名的过程中,这些附加数据可能会被删除,或者放到其他位置
如果签名后,再次修改可执行文件,或者bundle它们, 代码签名验证引擎 会觉察到这些改变,并做适当的动作。

https://bitbucket.org/ronaldoussoren/macholib

macholib can be used to analyze and edit Mach-O headers, the executable
format used by Mac OS X.

签名后的变化
header部分 load cmd的数目加1, load cmd的size 加 16

__LINKEDIT的load command有变化, vm size 和 file size都增加了

然后在 load command 数组的最后添加了一个
cmd LC_CODE_SIGNATURE
cmdsize 16
dataoff 4176
datasize 5184

链接地址;http://www.1000phone.net/thread-7879-1-6.html

嘎嘎嘎498451
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LC_CODE_SIGNATURE格式分析
afterlake的博客
10-25 2022
通常.LC_CODE_SIGNATURE为最后一个seg在macho中. LC_CODE_SIGNATURE开头4字节为特点的数字关于签名标示的数字定义在codesign.h中.(CSMAGIC开头)程序的嵌入式签名标示通常为为0xfade0cc0然后接着后面的顺序为: 1.全部Blob的总大小. 2.Blob的数量 3.第一个Blob的type(定义在codesign.h中,CS
移除LC_CODE_SIGNATURE
doorxp
04-15 1107
首先保证是二进制文件是 thin的,不能是fat binary(multiarchitecture binary)fat 减肥方法 lipo -thin armv7 old.bin -o new.bin 或者 ditto --arch armv7 bin 1. 修改load命令的数目,位于0×10处,4个字节      比如,如果load命令的数目是 0x2c,就改为0x2B 2.
fishhook(一):前导知识
Airths 的博客
10-24 525
目录相关的数据结构与函数iOS 系统的懒绑定机制如何获取到 Lazy Symbol Pointers 对应的函数名懒绑定函数 dyld_stub_binder 的执行流程 相关的数据结构与函数 MachO 文件中的链接信息段(LinkEdit Segment) LC_SEGMENT_64(__LINKEDIT) 命令用于描述链接信息段,其在 MachOView 中对应的图形界面,如下所示: LC_SEGMENT_64(__LINKEDIT) 命令对应的数据结构,如下所示: #import <ma
Mach-O在内存中符号表地址、字符串表地址的计算
ting2909的博客
09-27 794
KSCrash 是一个用于 iOS 平台的崩溃捕捉框架,最近读了其部分源码,在 KSDynamicLinker 文件中有一个函数,代码如下: /** Get the segment base address of the specified image. * This is required for any symtab command offsets. @param idx The i...
Code Signature的一些理解(升级版)
Just a coder
02-07 1万+
讲述Code Signature data的结构,特别是Code Directory blob和Signature blob。理清数字签名是如何生成和组织,以及操作系统是如何应用这个数字签名以及各个hash。了解后,可以对Code Signature相关内容有个总体的认识。
rust-macho:用于Rust的Mach-O文件格式解析器
05-08
用于Rust的Mach-O文件格式解析器 用法 要使用,请在[dependencies]下将以下行添加到Cargo.toml: mach_object = " 0.1 " 或者, mach_object = { git = " https://github.com/flier/rust-macho.git " } 例子 ...
MachOview查看Mach-O文件结构.zip
01-28
Mach-O(Mach Object)文件是Apple操作系统,包括macOS和iOS,使用的二进制文件格式。这种格式包含了可执行代码、库、符号表等关键元素,使得开发者能够构建和运行应用程序。MachOview是一款强大的开源工具,它允许...
Mach-O格式全称为Mach Object文件格式的缩写,是mac上可执行文件格式,类似于windows上的PE格式 (Po
11-21
Mach-O格式全称为Mach Object文件格式的缩写,是mac上可执行文件格式,类似于windows上的PE格式 (Portable Executable ), linux上的elf格式 (Executable and Linking Format)。
Mach-O动态链接的简单分析
05-25
Mach-O文件的通过dyld加载的时候并没有确定每一个函数的具体地址在哪里,而是在真正调用该函数的时候通过过程连接表(procedure linkage table...结合Mach-O文件的分析与代码的调试简单的分析一下,只能算是管中窥豹了。
MachO-Kit:用于解析Mach-O文件的CObjective-C库
02-04
什么是Mach-O套件? Mach-O Kit是用于解析Darwin平台(macOS,iOS,tvOS和watchOS)使用的Mach-O二进制文件的Objective-C框架。... 每次读取操作及其返回的数据都经过严格的错误检查,以使解析格式错误的Mach-O
Code Signature Invalid
yuanya的专栏
04-04 3156
When I run my Mac app, it crashes immediately, and the crash log says Exception Type: EXC_CRASH (Code Signature Invalid). What is going on here? A: The crash log indicates that your app is si
【神器】insert_dylib 给 MacOSX APP 添加导入表注入--你懂的~~
zhangmiaoping23的专栏
11-28 5676
论坛地址:http://www.chinapyg.com/ 转:http://www.dllhook.com/post/39.html // ./insert_dylib @executable_path(表示加载bin所在目录)/inject.dylib test #include #include #include #include #include #include
mach空串 php preg_Mach-O在内存中符号表地址、字符串表地址的计算
weixin_30396323的博客
02-26 119
KSCrash 是一个用于 iOS 平台的崩溃捕捉框架,最近读了其部分源码,在 KSDynamicLinker 文件中有一个函数,代码如下:/** Get the segment base address of the specified image.** This is required for any symtab command offsets.** @param idx The image...
Mach-O文件格式
兰亭白菜
01-27 2065
一个简单的程序 #include int main(int argc, const char * argv[]) { // insert code here... printf("Hello, World!\n"); return 0; } 对 mach-o 的分析从这个简单的 小程序开始 可执行文件的结构 我们用 MachOView 打开我们刚刚写了
签名教程
u011661836的博客
10-13 1456
1.解压 ipa,打开name.app包内容 2.微信是多targarts 的App,每个taggert都要给重新签名。或者直接把其它taggert删除。(watch,plagues 这两个文件夹)。 3.在name.app 加入libsubstrate.dylib、hook.dylib. 4.查看hook.dylib的依赖。tool -L 路径+hook.dylib 查看依赖库。如果依赖的
mac  中 Mach-O
LoveSummer
06-14 1132
Mach-O为Mach Object文件格式的缩写,它是一种用于可执行文件,目标代码,动态库,内核转储的文件格式。作为a.out格式的替代,Mach-O提供了更强的扩展性,并提升了符号表中信息的访问速度。 Mach-O曾经为大部分基于Mach核心的操作系统所使用。NeXTSTEP,Darwin和Mac OS X等系统使用这种格式作为其原生可执行文件,库和目标代码格式。而同样使用GNU
iOS Hacker 重签名实现无需越狱注入动态库 dylib
十年磨一剑,霜刃未曾试!
08-15 9090
iOS Hacker 重签名实现无需越狱注入动态库 dylib一、获取 ipa 文件iOS 的应用都是打包成 ipa 的文件格式,ipa 文件实际上就是 zip 格式文件,通过 unzip 可以解压,和安卓下的 apk 包类似。App Store 下载完应用,就把 ipa 解压到某个目录,然后把 ipa 删除,那么我们如何获取 ipa 文件呢?可以通过 iTunes 安装来获取 ipa 文件,在
Mach-O文件格式和程序从加载到执行过程
热门推荐
bjtufang的专栏
04-08 1万+
> 之前深入了解过,过去了一年多的时间。现在花些时间好好总结下,毕竟好记性不如烂笔头。其次还有一个目的,对于mach-o文件结构,关于动态加载信息那个数据区中,命令含义没有深刻掰扯清除,希望有同学能够指点下。摘要:对于mach-o是Mac和iOS可以执行文件格式。进程就是系统根据该格式将执行文件加载到内存后得到的结果。系统通过解析文件,建立依赖(动态库),初始化运行时环境,才能真正开始执行该Ap
深入浅出MachO
有价值炮灰
09-19 1733
之前写了一篇[深入浅出ELF][m],作为姊妹篇这次就来聊聊MacOS的可执行文件格式MachO。
用__builtin_return_address和mach-o获取函数名
最新发布
06-09
#include <mach-o/dyld.h> #include void print_backtrace() { void* callstack[128]; int frames = backtrace(callstack, 128); char** strs = backtrace_symbols(callstack, frames); for (int i = 0; i ; +...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值