iOS安全攻防(十七)看懂mach-o(2)

最新推荐文章于 2024-09-24 22:31:12 发布
最新推荐文章于 2024-09-24 22:31:12 发布
阅读量96 收藏
点赞数
文章标签: runtime 移动开发
原文链接:http://www.cnblogs.com/jailbreaker/p/4185565.html
版权

个人原创,转帖请注明来源:cnblogs.com/jailbreaker

接上一篇看懂mach-o(1),本文继续讲紧随mach-o的header文件的load command加载命令,看下面2张图,分别是hopper中显示的第一个load command区域和segment_command的定义:

NewImage

 

NewImage

第一张图截取的是第一个load command,从第一张图所知道,cmd类型是segment_command,就是截图的第2张图,依次分析:

1.cmd 是load command的类型,本文中值=1就是LC_SEGMENT,,LC_SEGMENT的含义是(将文件中的段映射到进程地址空间)

2.cmdsize 代表load command的大小(0x38个字节,从0x401C-0x4053)。

3.segname 16字节的段名字,当前是__PAGEZERO,有以下几种段:

#defineSEG_PAGEZERO"__PAGEZERO"/* the pagezero segment which has no */

/* protections and catches NULL */

/* references for MH_EXECUTE files */

#defineSEG_TEXT"__TEXT"/* the tradition UNIX text segment */

#defineSEG_DATA"__DATA"/* the tradition UNIX data segment */

#defineSEG_OBJC"__OBJC"/* objective-C runtime segment */

#defineSEG_ICON "__ICON"/* the icon segment */

#defineSEG_LINKEDIT"__LINKEDIT"/* the segment containing all structs */

/* created and maintained by the link */

/* editor.  Created with -seglinkedit */

/* option to ld(1) for MH_EXECUTE and */

/* FVMLIB file types only */

#define SEG_IMPORT"__IMPORT"/* the segment for the self (dyld) */

/* modifing code stubs that has read, */

/* write and execute permissions */

 

4.vmaddr 段的虚拟内存启始地址

5.vmsize 段的虚拟内存大小

6.fileoff 段在文件中的偏移量

7.filesize 段在文件中的大小

8.maxprot 段页面所需要的最高内存保护(4=r,2=w,1=x)

9.initprot 段页面初始的内存保护

10.nsects 段中包含section的数量

11.flags 其他杂项标志位

本文中主要讲了segment的种类和其结构,下一篇讲__DATA和__TEXT下面的sections。

转载于:https://www.cnblogs.com/jailbreaker/p/4185565.html

巷中人
关注
macOS软件安全分析实战
02-05
本课程展示了基于macOS平台的软件分析的原理、步骤以及详细过程。从macOS系统的目录结构的介绍开始,再到具体应用软件结构的介绍,直到简单软件代码的编写,向学员展示了macOS平台软件的基础知识,逻辑和概念,为学员进一步掌握基于苹果平台软件开发和软件安全分析奠定良好的基础。
IOS逆向-ASLR
yong_19930826的博客
05-23 504
ASLR 在逆向中我们无法使用breakpoint set -n "-[xxxxx xxxx:]"的方式(通过类名和方法名)来打断点,这种方式适合在Xcode工具中使用, 在逆向中我们一般使用breakpoint set -a 地址来打断点 ,通过函数的内存地址来打断点 可以使用MachOView _TEXT :代码段 通过Load commands 来描述 数据段、代码段 的信息的 编写的函数代码实际上是存在Data 段 (代码段) ...
Mach-O Executable 文件结构
海洋顶端
06-30 464
    看这篇文章,获益匪浅,解答了我一直以来的关于我的代码最终是如何在机器跑起来的疑惑,总结一下。     首先,一个可执行文件,.out 文件,内部会分为多个 Segment,比如: __TEXT: 放的是机器码,是 CPU 可以理解、执行的指令 __DATA: 放的是数据 __PAGEZERO: 一个坑位,会在 VM 当中占 4GB 的,     当我们运行一个应用的时候,VM (...
linux中的zero page
choumin的专栏
11-10 1728
在 linux 内核中,zero page 就是全部填充为 0 的物理页,如果我们有一大块取值为 0 的内存区域,那么可以将它们都映射到 zero page 上,这会节省很多物理内存,进而允许用户程序申请大数组。当我们要向这些页中写入数据时,copy-on-write 机制将会起作用,我们将会得到一个新的物理页。 在 arch/x86/include/asm/pgtable.h 文件中可以看到相关信息,empty_zero_page 就是我们这里说的 zero page 实例,它占用一个页的大小。 /*
zero page
dodobear的小窝窝
02-16 1251
当一个进程第一次对一个页进行读操作时,而且该页不在内存中时,kernel应该给进程分配一个新的页帧,更安全的做法是分配一个filled with zero的页帧给进程,这样才能保证别的进程的信息不会被新的进程给读取,所以linux中保留的一个这样filled with zero的页帧,叫zero page,当这种情况发生时,系统就将zero page填入页表中,并标记为不可写。当进程要对zero
Mac OS X ABI Mach-O File Format Reference.pdf
12-30
iOS 可执行文件是 Mach-O 格式,主要由 Header、Load Commands、Data 三部分 Header 头部,包含可以执行的CPU架构,比如x86,arm64 Load commands 加载命令,包含文件的组织架构和在虚拟内存中的布局方式 Data数据,...
MachOTool:用于分析和分析Mach-O二进制文件的便携式工具
04-29
Mach-O工具旨在成为分析Mach-O二进制文件的便携式工具。 它完全用Python编写,并且可以与任何标准Python 2.7安装一起使用,而无需其他软件包。 (GUI部分要求使用Tkinter,它应该是大多数平台中的标准软件包。) 它...
仙灵:神奇的ELF和Mach-o对象文件编写器后端
01-28
接下来是Mach-o格式,它是Apple macOS和iOS操作系统中的标准对象文件格式。Mach-o文件结构与ELF类似,但有一些特定于Apple环境的特性,如支持多个CPU架构和动态加载。这种格式允许开发者为不同架构创建单一的二进制...
MachO-Kit:用于解析Mach-O文件的CObjective-C库
02-04
Mach-O Kit是用于解析Darwin平台(macOS,iOS,tvOS和watchOS)使用的Mach-O二进制文件的Objective-C框架。 该项目还包括一个轻量级的C库-libMachO-用于解析当前进程中加载​​的Mach-O图像。 Mach-O工具包旨在易于...
Unexpected end of file from server 错误
qq_26462567的博客
09-18 426
对于这个Unexpected end of file from server问题网上有各种解决方案 , 我出现这个问题是因为两个原因。
day18-API(Math System Runtime Object BigInteger BigDecimal)
2303_79357053的博客
09-23 488
extends T> supplier) // 检查对象是否不为null,如果不为null,返回该对象;public static T requireNonNullElse(T obj, T defaultObj) // 检查对象是否不为null,如果不为null,返回该对象;比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;那么要比较对象的属性,我们就需要在Student类中重写Object类中的equals方法。
java-CC1 链条审计
LINGX5的博客
09-18 938
我过程写的很简洁,因为我们在上帝视角来看这条链条,没有真正审计时候的迷茫和一些心理的煎熬。而笔记的主要作用也是帮助我们可以串思路,能够想起这个链条的几个转折点够了MapEntry 的 setValue()方法,因为``TransformedMap.decorate()方法获取的对象是Map类,而Map类是的父类,他不能调用子类的checkSetValue()`方法。
TMS Scripter Crack TMS Scripter is a Delphi C++ Builder
q2315702359的博客
09-19 1072
  The integrated development environment or the IDE allows the users in process of creating script jobs during the runtime with the help of multiple cross-language scripts such as de Pascal and the Basics.  It has support for the cross-utilization of the s
linux安装jdk
学习使我快乐_玉祥
09-18 336
1、将jdk下载到tmp目录。
JAVA基础:System类,Runtime类,Arrays类的常用方法,二分查找算法
weixin_53755148的博客
09-20 653
在对象第一次被当作垃圾,准备垃圾回收时,会先调用该对象的finalize方法。对象复活后,如果再次称为垃圾,被回收时不再重复调用finalize方法。当一个对象不再被其他变量引用的时候,就称该对象为垃圾对象。注意:如果数列中的元素是对象类型,要求对象可以大小比较。每次都找到当前数列的中间位置的元素,与待查找的元素比较。如果待查找的元素比中间位置的元素小,准备去左侧继续查找。如果待查找的元素比中间位置的元素大,准备去右侧继续查找。也可以从A数组的a位置,移动到A数组的b位置。JVM判断对象是否为垃圾的算法。
C语言刷题 LeetCode 30天挑战 (一)
最新发布
weixin_64593595的博客
09-24 322
C语言刷题 LeetCode 30天挑战 (一)
ONNX Runtime库学习之InferenceSession.run函数
qq_46396470的博客
09-20 367
是 ONNX Runtime 库中的一个函数,用于执行已加载的 ONNX 模型的推理。该函数接收输入数据,通过模型进行计算,并返回输出结果。它是进行模型推理的核心接口,支持多种输入输出方式,包括直接传递 NumPy 数组、使用OrtValue对象等。
Java JNA、JNI、ProcessBuilder、Runtime.getRuntime.exec()详解
警警的博客
09-18 945
JNA 是 Java 与本地代码进行交互的一种高层次 API,它允许 Java 程序调用本地动态链接库(DLL 或.so文件)中的函数,而无需编写 JNI(Java Native Interface)代码。JNA 大大简化了与本地代码的交互,因为它自动处理了参数的转换、调用约定等复杂细节。Java中传参并调用C++程序_java 调用c++ 传递参数-CSDN博客JNI 是 Java 与本地代码(如 C/C++)交互的低层次接口。
探索iOS/MacOS的Mach-O文件格式权威文档
Mach-O 文件格式是苹果公司(Apple Inc.)为 iOSmacOS 操作系统设计的一种可执行文件格式,该格式主要用于支持 Mac OS X(现称 macOS)应用程序的运行和部署。这份文档,名为 "Mach-O File Format",最初是 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值