linux内存模块遍历实现,【手游开发篇】IOS系统下进程模块的遍历

最新推荐文章于 2023-09-22 15:26:02 发布
最新推荐文章于 2023-09-22 15:26:02 发布
阅读量525 收藏
点赞数
文章标签: linux内存模块遍历实现

一、背景

如前面《Android系统下进程模块的遍历》所述,模块遍历是一种很常见的需求,不同的是实现方式。Android的底层是linux操作系统,

可以通过proc虚拟文件系统获取进程的状态等信息;而IOS的底层是Darwin系统,并没有提供proc虚拟文件系统的功能。那么,该怎样获取进程加载模块的信息呢?这里有两种方法。下面分别介绍。

二、进程模块遍历的实现方式

1. 从内存中的dyld模块内容中获取

dyld是系统的动态链接器,当应用启动时,系统在解析完主模块macho的信息后,会首先运行dyld,通过dyld动态加载应用需要的所有模块,并把每个模块的信息保存到自己的macho文件的“_dyld_all_image_infos”的符号数据中。

Macho是IOS系统上的可执行文件和动态库的格式,类似于Windows系统上的PE、Linux系统上的ELF。它的结构如下图:

c9f6e6ca90c2d6e7d04f8b5662d80a98.png

它的结构分成三部分:Header、Load Command和Data。其中,Header用来描述cpu架构、Command数目等文件信息;Load

Command则描述文件中的段信息;Data包含每个段要引用的数据。Macho的文件信息可以通过MachOView应用来查看,如下图:

1c56db15736bed936f6a4a565784931e.png

使用此种方式实现进程模块遍历算法为:遍历进程的虚拟内存空间,找到macho模块;检查是否是dyld模块,以及包含“_dyld_all_image_infos”符号,如果是,则找到该符号的内容地址;最后,从该符号的内容地址中获取模块信息。此算法涉及到的api有以下几种:

de3763c3d1582ca733631dde7952e167.png

详细代码步骤如下:

a)遍历进程的虚拟内存空间,找到macho模块。

FindRegion方法的代码如下:

for (;;)

{

int print = 0;

int done = 0;

address = prev_address + prev_size;

/* Check to see if address space has wrapped around. */

if (address == 0)

{

print = done = 1;

}

if (!done)

{

// Even on iOS, we use VM_REGION_BASIC_INFO_COUNT_64. This works.

count = VM_REGION_BASIC_INFO_COUNT;

kret = vm_region (mach_task_self(), &address, &size,

VM_REGION_BASIC_INFO,

(vm_region_info_t) &info, &count, &object_name);

if (kret != KERN_SUCCESS)

{

/* iOS 6 workaround - attempt to reget the task port to avoiD */

/* "(ipc/send) invalid destination port" (1000003 or something) */

kret = vm_region (mach_task_self(), &address, &size,

VM_REGION_BASIC_INFO,

(vm_region_info_t) &info, &count, &object_name);

}

if (kret != KERN_SUCCESS)

{

printf("FindRegion: mach_vm_region failed for address %p - Error: %x\n",

(void *)address, (kret));

size = 0;

if (address >= USER_MAX_ADDRESS) return;

print = done = 1;

}

}

// 当前地址不是上一块内存的起始地址+内存长度,表示新的模块

if (address != prev_address + prev_size)

{

print = 1;

}

// 当前内存块的权限和上一个内存块的权限不同

if ((info.protection != prev_info.protection)

|| (info.max_protection != prev_info.max_protection)

|| (info.inheritance != prev_info.inheritance)

|| (info.shared != prev_info.shared)

|| (info.reserved != prev_info.reserved))

{

print = 1;

}

if (print)

{

int print_size = 0;

const char *print_size_unit = NULL;

// 从此内存块中找出模块列表信息

bool bRet = FindListOfImage(mach_task_self(), prev_address, prev_size);

if (bRet == true)

{

done = 1;

}

/* Quick hack to show size of segment, which GDB does not */

print_size = prev_size;

if (print_size > 1024) { print_size /= 1024; print_size_unit = "K";

}

if (print_size > 1024) { print_size /= 1024; print_size_unit = "M";

}

if (print_size > 1024) { print_size /= 1024; print_size_unit = "G";

}

/* End Quick hack */

if (nsubregions > 1)

{

printf("FindRegion: (%d sub-regions)\n", nsubregions);

}

prev_address = address;

prev_size = size;

memcpy (&prev_info, &info, sizeof

(vm_region_basic_info_data_t));

nsubregions = 1;

num_printed++;

}

else

{

prev_size += size;

nsubregions++;

}

if (address >= USER_MAX_ADDRESS)

{

done = 1;

}

if (done)

{

break;

}

}

b)检查是否是dyld模块,以及包含“_dyld_all_image_infos”符号;如果有,则找到该符号的内存地址。

FindListOfImage方法代码如下:

for (int k = 0; k < ((struct mach_header *)pbyMachoHeader)->ncmds;

++k)

{

if ((unsigned char*)pbyLoadCommand >= (unsigned char*)pbyMachoHeader +

size)

{

printf("FindListOfImage: lc out of range\n");

break;

}

printf("FindListOfImage: pbyLoadCommand index:%d, cmd:%d, size:%d\n", k,

pbyLoadCommand->cmd, pbyLoadCommand->cmdsize);

if (pbyLoadCommand->cmd == LC_ID_DYLINKER)

{

struct dylinker_command* pbyDyldCommand = (struct

dylinker_command*)pbyLoadCommand;

char *pszDyldName = (char *)pbyDyldCommand +

pbyDyldCommand->name.offset;

printf("FindListOfImage: %d, pbyDyldCommand name is:%s, name offset:%d,

(pbyDyldCommand:%x, pbyDyldCommand name:%x)\n", k, pszDyldName,

pbyDyldCommand->name.offset, pbyDyldCommand, pszDyldName);

if (pszDyldName != NULL && strstr(pszDyldName, "/lib/dyld") !=

NULL)

{

// 从macho模块中找到"_dyld_all_image_infos"符号的地址

pbyDyldAllImageInfos = GetDyldAllImageInfosAddr((struct mach_header

*)pbyMemHeader, "_dyld_all_image_infos");

}

break;

}

// find next load command address

pbyLoadCommand = (struct load_command *)((char*)pbyLoadCommand +

pbyLoadCommand->cmdsize);

}

vm_deallocate(t, (vm_offset_t)pbyMachoHeader, nMagicSize);

if (pbyDyldAllImageInfos)

{

// 解析符号内容

ParseImageInfos(pbyDyldAllImageInfos);

return true;

}

GetDyldAllImageInfosAddr函数代码如下:

unsigned long ulImageSlide = (pbyTextHdr->vmsize -

pbyTextHdr->filesize) + (pbyDataHdr->vmsize -

pbyDataHdr->filesize);

struct nlist *pbySymtabContent = (struct nlist *)( (unsigned

long)pbyMachoHeader + pbySymtabHdr->symoff + ulImageSlide );

const char *pbyStrtabContent = (const char *)( (unsigned

long)pbyMachoHeader + pbySymtabHdr->stroff + ulImageSlide);

unsigned nSymbolCount = pbySymtabHdr->nsyms;

for(unsigned i = 0; i < nSymbolCount; i++)

{

struct nlist &SymItemRef = pbySymtabContent[i];

if(SymItemRef.n_sect == NO_SECT)

{

continue;

}

char *pbySymItemName = (char *)(pbyStrtabContent +

SymItemRef.n_un.n_strx);

if(strcmp(pszSymbolName, pbySymItemName) == 0)

{

unsigned long ulDyldImageInfosOffset = SymItemRef.n_value -

pbyTextHdr->vmaddr;

pbyDyldAllImageInfos = (void *)( (unsigned long)pbyMachoHeader +

ulDyldImageInfosOffset);

break;

}

}

c)从” _dyld_all_image_infos“符号内容中获取模块信息。

ParseImageInfos方法代码如下:

nDyldInfoCount = sizeof(dyld_all_image_infos);

pbyDyldAllImageInfoContent = ReadProcessMemory(mach_task_self(),

(vm_address_t)pbyDyldAllImageInfo, &nDyldInfoCount);

if (!pbyDyldAllImageInfoContent)

{

printf("ParseImageInfos: read mem failed 1\n");

break;

}

struct dyld_all_image_infos * dyldaii = (struct dyld_all_image_infos

*)pbyDyldAllImageInfoContent;

printf("ParseImageInfos: Version: %d, %d images at offset

%p\n",dyldaii->version, dyldaii->infoArrayCount,

dyldaii->infoArray);

nImageCount = dyldaii->infoArrayCount;

nDyldAllImageInfoArrayCount = nImageCount * sizeof(struct

dyld_image_info);

pbyDyldAllImageInfoArrayContent = ReadProcessMemory(mach_task_self(),

(mach_vm_address_t)dyldaii->infoArray, &nDyldAllImageInfoArrayCount);

if (!pbyDyldAllImageInfoArrayContent)

{

printf("ParseImageInfos: read mem failed 1\n");

break;

}

struct dyld_image_info *dii = (struct dyld_image_info

*)pbyDyldAllImageInfoArrayContent;

unsigned char *pszImageFilePath;

mach_msg_type_number_t nPathNameLen;

for (int i = 0; i < nImageCount; i++)

{

nPathNameLen = 1024;

pszImageFilePath = ReadProcessMemory(mach_task_self(),

(mach_vm_address_t)dii[i].imageFilePath, &nPathNameLen);

ModInfo *pstModInfo = new ModInfo();

if (pszImageFilePath)

{

pstModInfo->m_pszModPath = strdup((char *)pszImageFilePath);

pstModInfo->m_pulModBase = (unsigned long *)dii[i].imageLoadAddress;

m_MapModuleList[pstModInfo->m_pszModPath] = pstModInfo;

vm_deallocate(mach_task_self(), (vm_offset_t)pszImageFilePath, 1024);

}

else

{//解决获取不到主进程文件路径的问题

struct dl_info curr_dl_info = {0};

dladdr(dii[i].imageLoadAddress, &curr_dl_info);

printf("ParseImageInfos: find process mod: %d:%p:%s\n", i,

curr_dl_info.dli_fbase, curr_dl_info.dli_fname);

pstModInfo->m_pszModPath = strdup(curr_dl_info.dli_fname);

pstModInfo->m_pulModBase = (unsigned long *)dii[i].imageLoadAddress;

m_MapModuleList[pstModInfo->m_pszModPath] = pstModInfo;

}

printf("ParseImageInfos: mod[%d] path:%s, mod base:%p\n", i,

pstModInfo->m_pszModPath, pstModInfo->m_pulModBase);

}

2. 利用dyld的API获取进程模块信息

除了第1种方法外,还有一种更简单的实现进程模块遍历的方法,那就是dyld提供的接口。涉及到的API有以下几种:

如上面介绍:

_dlyd_image_count:获取当前已加载的模块数量,但是不是线程安全的。

_dyld_get_image_header:返回当前已加载的某个模块的头部地址。_dyld_get_image_vmaddr_slide:当前已加载的某个模块的虚拟内存偏移值。

_dyld_get_image_name:返回当前已加载的某个模块的名称。_dyld_register_func_for_addr_image:注册添加模块时的回调函数。

_dyld_register_func_for_remove_image:注册移除模块时的回调函数。

使用此方法实现模块遍历的算法为:先用进程中已加载模块的数量,然后逐个获取名称和模块首地址,具体代码如下:

void SearchModuleInfo::EnumDyldModules()

{

m_nModNum = _dyld_image_count();

for (int i = 0; i < m_nModNum; i++)

{

const mach_header* pstMachoHeader = _dyld_get_image_header(i);

const char *pszImageFullPath = _dyld_get_image_name(i);

ModInfo *pstModInfo = new ModInfo();

pstModInfo->m_pszModPath = strdup(pszImageFullPath);

pstModInfo->m_pulModBase = (unsigned long *)pstMachoHeader;

m_MapModuleList[pstModInfo->m_pszModPath] = pstModInfo;

printf("mod[%d]: %s-%p-%p\n", i, pszImageFullPath, pstMachoHeader,

(unsigned long*)_dyld_get_image_vmaddr_slide(i));

}

}

三、IOS系统上进程模块遍历的运用场景

获取自己进程的模块加载列表,如是否已加载目标模块。

获取自己进程中某个特定模块的信息,如代码段、数据段是否被修改

本文内容转载自网络,本着分享与传播的原则,版权归原作者所有,如有侵权请联系我们进行删除!

取名废zz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iOS越狱检测总结
weixin_42454310的博客
09-07 1991
在之前的文章中,已经带大家一起制作了一个。本文就和大家一起学习整理一下iOS系统中有哪些越狱检测的点,一起完善我们的Tweak。
dyld方式遍历模块源码讲解
weixin_34077371的博客
06-07 1344
mac ios遍历模块的有几种方式(其实不叫遍历模块,应该叫做遍历进程内所有的macho可执行文件,看完就知道为什么了)。这里只看dyld方式遍历的,dyld大家都知道这个是水果支持动态链接启动macho文件用的,也就当你要依赖其它库时dyld会给也把这些坑填了,遍历模块代码是:https://blog.51cto.com/haidragon/2164203用到的函数有: int32_t nMo...
iOS系统越狱检测
zkdemon的专栏
11-30 2万+
越狱检测/越狱检测绕过——xCon 一直忽略了越狱检测与越狱检测绕过的问题,因为我认为在app争抢装机率的环境下,是不会在乎对方的设备越狱与否的。但很显然,我忽略了一个问题,app在设计的时候或许会依照设备是否越狱而采取不同的流程,比如说对越狱的设备采取更多的安全措施,在这种场景下,越狱检测是否可靠就成为了关键问题。本文章主要介绍越狱检测的常见方法(并配有相应的测试代码),以及最流行的
iOS 任意线程调用栈的捕获和符号化(二)
Nate的博客
07-12 1543
由于我们在上面回溯线程调用栈拿到的是一组地址,所以这里进行符号化的输入输出应该分别是地址和符号,接口设计类似如下:- (NSString *)symbolicateAddress:(uintptr_t)addr;不过在实际操作中,我们需要依赖于dyld相关方法和数据结构:/* * Structure filled in by dladdr(). */ typedef struct dl_inf...
深入iOS系统底层之程序映像
iOS_开发
05-25 1049
黑客技术点击右侧关注,了解黑客的世界!Linux编程点击右侧关注,免费入门到精通!作者丨欧阳大哥2013https://www.jianshu.com/p/3b83193...
Frida 打印函数的调用堆栈 便于回溯函数的整个调用过程
最新发布
六桥风月IT随笔
09-22 1494
【代码】Frida 打印函数的调用堆栈 便于回溯函数的整个调用过程。
_dyld系列hook
tslx1020的博客
12-09 647
【已解决】iOS反越狱检测:_dyld_register_func_for_add_image和_dyld_register_func_for_remove_image。【已解决】iOS反越狱检测:_dyld_image_count和_dyld_get_image_name改为普通hook逻辑。【已解决】iOS反越狱检测:如何hook绕过_dyld_image_count和_dyld_get_image_name。【已解决】iOS反越狱检测:_dyld_get_image_name的hook绕过。
iOS 越狱手机 ikeymonitor 插件检测
小卓子
03-20 6266
背景: 在越狱手机上安装 ikeymonitor 插件之后,日志中能实时记录用户的输入文本(密码除外,密码采用了密码控件),可能存在安全隐患。 解决思路: 1、 遍历手机已安装的应用,判断是否安装 ikeymonitor 插件 思路不可行,ikeymonitor 是一个插件,本人理解中 ikeymonitor 不是一个应用,没有 Url scheme。 2、 遍历程序启动时的动态库,...
22、Tweak原理及部分逆向防护
Holothurian
04-24 1225
App可以被lldb动态调试,因为App被设备中的debugserver附加,它会跟踪我们的应用进程(trace process), 而这一过程利用的就是ptrace 函数ptrace是系统内核函数,它可以决定应用能否被debugserver附加.如果我们在项目中,调用ptrace函数,将程序设置为拒绝附加,即可对lldb动态调试进行有效的防护.ptrace在iOS系统中,无法直接使用,需要导入头文件ptrace函数的定义:request: 请求ptrace执行的操作。
通过源码分析 fishhook 库的实现原理
刘铎Derek在CSDN
04-09 243
通过源码分析,我们了解了 Fishhook 库的实现原理。它利用动态链接库的特性,通过修改符号表实现 Hook 函数。Fishhook 的使用非常简单,只需要调用函数即可。Fishhook 可以用于 iOS 和macOS 系统中 Hook 函数,对于开发人员而言非常方便和实用。
APPLE越狱软件测试,iOS的越狱检测和反越狱检测剖析
weixin_30788829的博客
08-02 3136
iOS的越狱检测和反越狱检测原理剖析为什么要检测越狱?因为越狱后会大幅降低安全性。对于一些金融类的APP或者游戏类的,因为监管原因、资金安全问题,甚至防止使用越狱分析等,需要进行检测。不过其实越狱与反越狱就像矛与盾一样,都没有完美的方案。用一些反越狱插件可以防99%的越狱检测方式,本质上因为越狱后可以hook已知的所有检测越狱的方法,包括我下面的几种常用的。对于具体的反越狱插件可以用一些特定的方案...
深入iOS系统底层之映像文件操作API介绍
weixin_33795743的博客
02-18 479
绿树阴浓夏日长,楼台倒影入池塘。--《唐高骈·山亭夏日》    mach-o文件和进程的映像(image) iOS系统生成的可执行程序或者动态库文件的存储布局格式被称之为mach-o格式。文件中存放着程序的代码和数据,而程序运行时系统会为其建立一个进程,以及分配虚拟内存空间。同时会把程序文件中的内容加载到虚拟内存地址空间中去,这种加载的方法一般采用内存映射文件的技术来实现。所谓的映像可以理解为将一...
linux内存模块遍历实现,解决Linux内核问题实用技巧之-dev/mem的新玩法
weixin_29324401的博客
05-06 841
原创 dog250 Linux阅码场 2019-11-20接着上一文章《解决Linux内核问题实用技巧之 - Crash工具结合/dev/mem任意修改内存》继续,本文中,我们来领略几种关于/dev/mem的玩法。/dev/mem里有什么简单来讲,/dev/mem是系统物理内存的映像文件,这里的 “物理内存” 需要进一步解释。物理内存是指我们插在内存槽上的内存条吗?当然是,但物理内存不单单指内存...
破解Hopper Disassembler v3.7.8 for mac的艰难历程
u011661836的博客
06-12 2423
Hopper Disassembler是一个很牛的逆向分析工具,虽然我个人觉得比不上IDA,但是聊胜于无,感觉字符处理得不错。 这个工具在2.x时代是很容西xx的,但是到了3.x翅膀就硬了。 我这里xx的是最新的3.7.8,在这个版本中自我保护手段是很多的,主要是: 1.无法用gdb lldb载入分析,一附加就出错退出。 2、Section偏移量篡改。 3、加密了__TEXT里的代码,字
外挂学习之路(3)--- 内存遍历工具
liujiayu2的专栏
02-06 1万+
一旦找到人物血量, 一般来讲这个人物的其他相关属性也在附近,这样遍历内存一个一个枚举和人物的相关属性一一对应就好了。介绍两个常见的内存遍历工具,龙龙内存遍历工具和结构化内存监视器。 利用这个方法可以找到一些难以找到的内存,比如人物的姓名等不容易更改的属性。
二、C++反作弊对抗实战 (进阶 —— 4.遍历进程模块(暴力扫描整个内存找出被断链的))
Koma的主页
03-03 1035
提示:以下是本文章正文内容,下面案例可供参考 一、前言 由于上一章节中的MsgBox已经被抹去PE头、断链隐藏了DLL,导致将无法正常遍历出当前进程的所有模块,这时候就需要用到暴力内存的方法了。因为断链这种方法只能欺骗常规的CreateToolhelp32Snapshot、Module32First、Module32Next三个遍历函数,而当我们真正使用暴力扫描内存的方法后,这个”隐藏“的MsgBox.dll一样能被扫描出来。 这里我们得用前面章节介绍的Native API ZwQueryVi...
IOS 获取进程内镜像
bingtuohun的专栏
08-20 1571
第一种方法,使用vm_region_recurse_64获取所有内存节点信息 kern_return_t krc = KERN_SUCCESS; vm_address_t address = 0; vm_size_t size = 0; uint32_t depth = 1; pid_t pid = getpid(); char buf[PATH_MAX]; while (1) { struct vm_region_submap_info_64 info; mach_msg_type_nu...
linux进程地址空间--vma的基本操作
热门推荐
vanbreaker的专栏
08-12 2万+
在32位的系统上,线性地址空间可达到4GB,这4GB一般按照3:1的比例进行分配,也就是说用户进程享有前3GB线性地址空间,而内核独享最后1GB线性地址空间。由于虚拟内存的引入,每个进程都可拥有3GB的虚拟内存,并且用户进程之间的地址空间是互不可见、互不影响的,也就是说即使两个进程对同一个地址进行操作,也不会产生问题。在前面介绍的一些分配内存的途径中,无论是伙伴系统中分配页的函数,还是slab分配
Linux内存映射
weixin_49382066的博客
01-30 2042
内存映射实现进程虚拟地址空间和实际物理页帧之间的映射,由于用户进程总的虚拟地址空间比可以使用的物理内存大的多,因此只有最常用的部分才与物理页帧关联。进程试图访问用户空间一个虚拟地址,但页表无法确定物理地址(映射未建立);处理器接下来触发一个缺页异常,内核处理缺页异常
遍历的重标记系统编码:分布式算法与应用
这项研究的关键术语包括分布式算法、图遍历、重标记系统模块化编码以及分布式算法的实现细节。 该论文的价值在于它通过理论框架简化了复杂性,促进了分布式计算领域的理解和实践,并且对于那些关心算法正确性而非...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值