iOS安全攻防(十七)看懂mach-o(2)

最新推荐文章于 2024-09-19 16:40:39 发布
最新推荐文章于 2024-09-19 16:40:39 发布
阅读量96 收藏
点赞数
文章标签: runtime 移动开发
原文链接:http://www.cnblogs.com/jailbreaker/p/4185565.html
版权

个人原创,转帖请注明来源:cnblogs.com/jailbreaker

接上一篇看懂mach-o(1),本文继续讲紧随mach-o的header文件的load command加载命令,看下面2张图,分别是hopper中显示的第一个load command区域和segment_command的定义:

NewImage

 

NewImage

第一张图截取的是第一个load command,从第一张图所知道,cmd类型是segment_command,就是截图的第2张图,依次分析:

1.cmd 是load command的类型,本文中值=1就是LC_SEGMENT,,LC_SEGMENT的含义是(将文件中的段映射到进程地址空间)

2.cmdsize 代表load command的大小(0x38个字节,从0x401C-0x4053)。

3.segname 16字节的段名字,当前是__PAGEZERO,有以下几种段:

#defineSEG_PAGEZERO"__PAGEZERO"/* the pagezero segment which has no */

/* protections and catches NULL */

/* references for MH_EXECUTE files */

#defineSEG_TEXT"__TEXT"/* the tradition UNIX text segment */

#defineSEG_DATA"__DATA"/* the tradition UNIX data segment */

#defineSEG_OBJC"__OBJC"/* objective-C runtime segment */

#defineSEG_ICON "__ICON"/* the icon segment */

#defineSEG_LINKEDIT"__LINKEDIT"/* the segment containing all structs */

/* created and maintained by the link */

/* editor.  Created with -seglinkedit */

/* option to ld(1) for MH_EXECUTE and */

/* FVMLIB file types only */

#define SEG_IMPORT"__IMPORT"/* the segment for the self (dyld) */

/* modifing code stubs that has read, */

/* write and execute permissions */

 

4.vmaddr 段的虚拟内存启始地址

5.vmsize 段的虚拟内存大小

6.fileoff 段在文件中的偏移量

7.filesize 段在文件中的大小

8.maxprot 段页面所需要的最高内存保护(4=r,2=w,1=x)

9.initprot 段页面初始的内存保护

10.nsects 段中包含section的数量

11.flags 其他杂项标志位

本文中主要讲了segment的种类和其结构,下一篇讲__DATA和__TEXT下面的sections。

转载于:https://www.cnblogs.com/jailbreaker/p/4185565.html

巷中人
关注
iOS逆向 - 应用安全攻防(越狱与非越狱)
Appleteachers的博客
04-13 1069
iOS 逆向篇章目录 : • 1️⃣、RSA加密原理&密码学&HASH • 2️⃣、应用签名原理及重签名 (重签微信应用实战) • 3️⃣、shell 脚本自动重签名与代码注入 • 4️⃣、重签应用调试与代码修改 (Hook) • 5️⃣、Mach-O文件 • 6️⃣、Hook / fishHook 原理与符号表 • 7️⃣、LLDB由浅至深 • 8️⃣、lldb高级篇 Chisel 与 Cycript • 9️⃣、越狱初探 • ????、实战篇-钉钉打卡插件 前言 逆向篇章从前导知识到工具
macOS软件安全分析实战
02-05
本课程展示了基于macOS平台的软件分析的原理、步骤以及详细过程。从macOS系统的目录结构的介绍开始,再到具体应用软件结构的介绍,直到简单软件代码的编写,向学员展示了macOS平台软件的基础知识,逻辑和概念,为学员进一步掌握基于苹果平台软件开发和软件安全分析奠定良好的基础。
IOS逆向-ASLR
yong_19930826的博客
05-23 501
ASLR 在逆向中我们无法使用breakpoint set -n "-[xxxxx xxxx:]"的方式(通过类名和方法名)来打断点,这种方式适合在Xcode工具中使用, 在逆向中我们一般使用breakpoint set -a 地址来打断点 ,通过函数的内存地址来打断点 可以使用MachOView _TEXT :代码段 通过Load commands 来描述 数据段、代码段 的信息的 编写的函数代码实际上是存在Data 段 (代码段) ...
Mach-O Executable 文件结构
海洋顶端
06-30 464
    看这篇文章,获益匪浅,解答了我一直以来的关于我的代码最终是如何在机器跑起来的疑惑,总结一下。     首先,一个可执行文件,.out 文件,内部会分为多个 Segment,比如: __TEXT: 放的是机器码,是 CPU 可以理解、执行的指令 __DATA: 放的是数据 __PAGEZERO: 一个坑位,会在 VM 当中占 4GB 的,     当我们运行一个应用的时候,VM (...
zero page
dodobear的小窝窝
02-16 1250
当一个进程第一次对一个页进行读操作时,而且该页不在内存中时,kernel应该给进程分配一个新的页帧,更安全的做法是分配一个filled with zero的页帧给进程,这样才能保证别的进程的信息不会被新的进程给读取,所以linux中保留的一个这样filled with zero的页帧,叫zero page,当这种情况发生时,系统就将zero page填入页表中,并标记为不可写。当进程要对zero
linux中的zero page
choumin的专栏
11-10 1719
在 linux 内核中,zero page 就是全部填充为 0 的物理页,如果我们有一大块取值为 0 的内存区域,那么可以将它们都映射到 zero page 上,这会节省很多物理内存,进而允许用户程序申请大数组。当我们要向这些页中写入数据时,copy-on-write 机制将会起作用,我们将会得到一个新的物理页。 在 arch/x86/include/asm/pgtable.h 文件中可以看到相关信息,empty_zero_page 就是我们这里说的 zero page 实例,它占用一个页的大小。 /*
iOS安全攻防(十六)看mach-o(1)
weixin_30871293的博客
12-25 96
个人原创,转帖请注明来源:cnblogs.com/jailbreaker 在win下搞逆向需要看pe,同样搞iOS安全攻防必须看mach-o格式,水果的官方mach-o文档在此:https://developer.apple.com/library/mac/documentation/DeveloperTools/Conceptual/MachORuntime/index.html 本文中...
iOS安全攻防(十八)看mach-o(3)
weixin_30867015的博客
12-26 103
个人原创,转帖请注明来源:cnblogs.com/jailbreaker 之前两篇帖子分别讲了mach-o的header区和load command区中的segment,今天继续讲segment中的的setcion,一般在__TEXT和__DATA段中有section。这里注意下命名规范,大写代表segment,小写是section,例如 __TEXT.__text,指的是__TEXT段的__t...
iOS开发-代码混淆
iOS_开发
08-04 518
点击上方“iOS开发”,选择“置顶公众号”关键时刻,第一时间送达!作者:张囧瑞  來源:简书文:https://www.jianshu.com/p/864ce7dc9c2...
MachOTool:用于分析和分析Mach-O二进制文件的便携式工具
04-29
Mach-O工具旨在成为分析Mach-O二进制文件的便携式工具。 它完全用Python编写,并且可以与任何标准Python 2.7安装一起使用,而无需其他软件包。 (GUI部分要求使用Tkinter,它应该是大多数平台中的标准软件包。) 它...
Mac OS X ABI Mach-O File Format Reference.pdf
12-30
iOS 可执行文件是 Mach-O 格式,主要由 Header、Load Commands、Data 三部分 Header 头部,包含可以执行的CPU架构,比如x86,arm64 Load commands 加载命令,包含文件的组织架构和在虚拟内存中的布局方式 Data数据,...
iOS AOP 方案的对比与思考
GrowingIO 基于 BitMap 的海量数据分析
11-23 263
AOP 思想 AOP:Aspect Oriented Programming,译为面向切面编程,是可以通过预编译的方式和运行期动态实现,在不修改源代码的情况下,给程序动态统一添加功能的技术。 面向对象编程(OOP)适合定义从上到下的关系,但不适用于从左到右,计算机中任何一门新技术或者新概念的出现都是为了解决一个特定的问题的,我们看下AOP解决了什么样的问题。 例如一个电商系统,有很多业务模块的功能,使用OOP来实现核心业务是合理的,我们需要实现一个日志系统,和模块功能不同,日志系统不属于业务代码。如果新建一
IOS安全、逆向、反编译5-Mach-O
12-27 2078
逆向App的基本步骤 界面分析 Cycript、Reveal 代码分析 对Mach-O文件的静态分析 MachOView、class-dump、Hopper Disassembler、ida等 动态调试 对运行中的APP进行代码调试 debugserver、LLDB 4.代码编写 注入代码到APP中 必要时还可能需要重新签名、打包ip ...
Unexpected end of file from server 错误
qq_26462567的博客
09-18 380
对于这个Unexpected end of file from server问题网上有各种解决方案 , 我出现这个问题是因为两个原因。
Go语言设计与实现 学习笔记 第七章 内存管理(1)
tus00000的博客
09-17 787
7.1 内存分配器 程序中的数据和变量都会被分配到程序所在的虚拟内存中,内存空间包含两个重要区域——栈区(Stack)和堆区(Heap)。函数调用的参数、返回值、局部变量大都会被分配到栈上,这部分内存会由编译器进行管理;不同编程语言使用不同的方法管理堆区的内存,C++等编程语言会由工程师主动申请和释放内存,Go以及Java等编程语言会由工程师和编译器共同管理,堆中的对象由内存分配器分配并由垃圾收集器回收。 不同的编程语言会选择不同的方式管理内存,本节会介绍Go语言内存分配器,详细分析内存分配的过程以及其背后
java-CC1 链条审计
LINGX5的博客
09-18 931
我过程写的很简洁,因为我们在上帝视角来看这条链条,没有真正审计时候的迷茫和一些心理的煎熬。而笔记的主要作用也是帮助我们可以串思路,能够想起这个链条的几个转折点够了MapEntry 的 setValue()方法,因为``TransformedMap.decorate()方法获取的对象是Map类,而Map类是的父类,他不能调用子类的checkSetValue()`方法。
flink interval join为什么配置的是前后2分钟 ,但是每次都是左流到了4分钟,匹配不上才下发,和预期的不一样
最新发布
qq_44741568的博客
09-19 284
看到这个问题,立马能想到需要通过源码查找原因,flink join本质是对窗口的操作,窗口在flink底层是基于Timer定时器来实现的,只需在ctx.timerService().registerProcessingTimeTimer()方法处打断点进行debug,即可知道是从哪里进行注册,从而定位到上述的源码类:org.apache.flink.table.runtime.operators.join.interval.TimeIntervalJoin。就这样,不到5分钟排查出了问题得到原因。
探索iOS/MacOS的Mach-O文件格式权威文档
Mach-O 文件格式是苹果公司(Apple Inc.)为 iOSmacOS 操作系统设计的一种可执行文件格式,该格式主要用于支持 Mac OS X(现称 macOS)应用程序的运行和部署。这份文档,名为 "Mach-O File Format",最初是 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值