當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

iOS逆向之深入解析MachO文件

發布時間：2024/5/21 编程问答 49 豆豆

生活随笔收集整理的這篇文章主要介紹了 iOS逆向之深入解析MachO文件小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

MachO文件簡介

一、什么是MachO文件？

Mach-O其實是Mach Object文件格式的縮寫，它是Mac以及iOS上一種用于可執行文件、目標代碼、動態庫的文件格式，類似于Windows上面的PE格式(Portable Executable)，linux上的elf格式(Executable and Link Format)。
它是一種用于可執行文件、目標代碼、動態庫的文件格式，作為.out格式的替代，MachO提供了更強的擴展性。

二、Mach-O文件格式

目標文件.o
庫文件：.a .dylib .Framework
可執行文件
dyld（動態鏈接器）
.dsym（符號表：Relese環境運行生成）

三、查看文件類型

$ file xxx.xx

系統架構

一、iPhone不同的型號對應的架構

手機型號架構

32位模擬器	i386
64位模擬器	x86_64
iPhone4、iPhone4S	armv7
iPhone5、iPhone5C	armv7s
iPhone5s——iPhoneX	arm64
iPhone XS、iPhone XS Max、iPhoneXR、iPhone11…	arm64e

二、Xcode中指令集相關選項（Build Setting）

Architectures
指定工程被編譯成可支持哪些指令集類型，支持的指令集越多，就會編譯出包含多個指令集代碼的數據包，對應生成二進制 .ipa 包會變大。
Valid Architectures
限制可能被支持的指令集的范圍，即：Xcode編譯出來的二進制包類型最終從這些類型產生，而編譯出哪種指令集的包，將由Architectures與Valid Architectures的交集來確定
Build Active Architecture Only
指定是否只對當前連接設備所支持的指令集編譯。當其值設置為YES，是為了debug的時候編譯速度更快，它只編譯當前的Architecture版本，而設置為no時，會編譯所有的版本。所以，一般debug的時候可以選擇設置為YES，release的時候要改為NO。

三、生成多種架構

新建一個工程，真機運行，查看可執行文件僅是一個arm64架構的，將項目最低適配系統調為iOS9.0，真機運行 Relese環境：

~/Library/Developer/Xcode/DerivedData/TestDemo-aszxljwcoetyppfyxjarbzmhorsh /Build/Products/Release-iphoneos/TestDemo.app file TestDemo TestDemo: Mach-O universal binary with 2 architectures: [arm_v7:Mach-O executable arm_v7 ] [arm64:Mach-O executable arm64] TestDemo (for architecture armv7): Mach-O executable arm_v7 TestDemo (for architecture armv54): Mach-O 64-bit executable arm64

為什么要改為iOS9.0呢？是因為iPhone5c等armv7、armv7s架構不支持iOS11.0；
為什么要Relese環境運行呢？因為Xcode默認Debug只生成單一架構；

怎么生成所有架構？Xcode10中只包含了v7和64，需要在 Architectures 中添加：

通用二進制文件（Universal binary）

一、簡介

通用二進制文件也被叫做胖二進制（Fat binary）；
蘋果公司提出的一種程序代碼，能同時適用多種架構的二進制文件；
同一個程序包中同時為多種架構提供最理想的性能；
由于需要儲存多種代碼，通用二進制應用程序通常比單一平臺二進制的程序要大；
由于兩種架構有共通的非執行資源，所以并不會達到單一版本的兩倍之多；
由于執行中只調用一部分代碼，運行起來也不需要額外的內存；

二、拆分/合并架構

① 終端命令

架構查看

lipo -info + macho

架構合并

lipo -create macho_A macho_B -output(-o) macho_AB

架構分離

lipo macho -thin -arm64 -o macho_arm64

② 結論

胖二進制拆分后再重組會得到原始胖二進制；
通用二進制的大小可能大于子架構大小之和，也可能小于，也可能等于，取決于公共資源文件的多少；

MachO文件結構

一、蘋果官方結構

主要組成可以大概分為三大塊：

Header部分(包含該二進制文件的一般信息)：字節順序、架構類型、加載指令的數量等。使得可以快速確認一些信息，比如當前文件用于32位還是64位，對應處理器是什么，文件類型是什么。
Load commands 部分(一張包含很多內容的表)；內容區包括區域的位置、符號表、動態符號表等。
Data段：包含Segement的具體數據。

二、整體結構

使用 MachOView 打開會看到通用二進制文件由 Fat Header 和可執行文件組成(可執行文件是由 Header 、 Load commands 和 Data 組成)：

可執行文件是由 Header 、 Load commands 和 Data 組成：

可以使用otool命令來查看Mach-O文件，也可以使用MachOView這個工具查看剛剛生成的MachO文件，先cd到當前文件夾，然后：

$otool -f MachOFat headers fat_magic 0xcafebabe nfat_arch 3 architecture 0cputype 12cpusubtype 9capabilities 0x0offset 16384size 73568align 2^14 (16384) architecture 1cputype 12cpusubtype 11capabilities 0x0offset 98304size 73568align 2^14 (16384) architecture 2cputype 16777228cpusubtype 0capabilities 0x0offset 180224size 73888align 2^14 (16384)

header 包含了該二進制文件的字節順序、架構類型、加載指令的數量等，使得可以快速確認一些信息，比如當前文件用于 32 位還是 64 位，對應的處理器是什么、文件類型是什么；Xcode中 shift+command+O -> load.h -> 如下信息（mach_header_64（64位）對比mach_header（32位）只多了一個保留字段）

struct mach_header_64 {uint32_t magic; /* 魔數,快速定位64位/32位 */cpu_type_t cputype; /* cpu 類型比如 ARM */cpu_subtype_t cpusubtype; /* cpu 具體類型比如arm64 , armv7 */uint32_t filetype; /* 文件類型例如可執行文件 .. */uint32_t ncmds; /* load commands 加載命令條數 */uint32_t sizeofcmds; /* load commands 加載命令大小*/uint32_t flags; /* 標志位標識二進制文件支持的功能 , 主要是和系統加載、鏈接有關*/uint32_t reserved; /* reserved , 保留字段 */ };

load commands 是一張包括區域的位置、符號表、動態符號表等內容的表。它詳細保存著加載指令的內容，告訴鏈接器如何去加載這個 Mach-O 文件。通過查看內存地址發現，在內存中 load commands 是緊跟在 header 之后的；

load commands的詳情:

/* Constants for the cmd field of all load commands, the type */#define LC_SEGMENT 0x1 /* segment of this file to be mapped */ #define LC_SYMTAB 0x2 /* link-edit stab symbol table info */ #define LC_SYMSEG 0x3 /* link-edit gdb symbol table info (obsolete) */ #define LC_THREAD 0x4 /* thread */ #define LC_UNIXTHREAD 0x5 /* unix thread (includes a stack) */ #define LC_LOADFVMLIB 0x6 /* load a specified fixed VM shared library */ #define LC_IDFVMLIB 0x7 /* fixed VM shared library identification */ #define LC_IDENT 0x8 /* object identification info (obsolete) */ #define LC_FVMFILE 0x9 /* fixed VM file inclusion (internal use) */ #define LC_PREPAGE 0xa /* prepage command (internal use) */ #define LC_DYSYMTAB 0xb /* dynamic link-edit symbol table info */ #define LC_LOAD_DYLIB 0xc /* load a dynamically linked shared library */ #define LC_ID_DYLIB 0xd /* dynamically linked shared lib ident */ #define LC_LOAD_DYLINKER 0xe /* load a dynamic linker */ #define LC_ID_DYLINKER 0xf /* dynamic linker identification */ #define LC_PREBOUND_DYLIB 0x10 /* modules prebound for a dynamically */ /* linked shared library */ #define LC_ROUTINES 0x11 /* image routines */ #define LC_SUB_FRAMEWORK 0x12 /* sub framework */ #define LC_SUB_UMBRELLA 0x13 /* sub umbrella */ #define LC_SUB_CLIENT 0x14 /* sub client */ #define LC_SUB_LIBRARY 0x15 /* sub library */ #define LC_TWOLEVEL_HINTS 0x16 /* two-level namespace lookup hints */ #define LC_PREBIND_CKSUM 0x17 /* prebind checksum *//** load a dynamically linked shared library that is allowed to be missing* (all symbols are weak imported).*/ #define LC_LOAD_WEAK_DYLIB (0x18 | LC_REQ_DYLD)#define LC_SEGMENT_64 0x19 /* 64-bit segment of this file to be mapped */ #define LC_ROUTINES_64 0x1a /* 64-bit image routines */ #define LC_UUID 0x1b /* the uuid */ #define LC_RPATH (0x1c | LC_REQ_DYLD) /* runpath additions */ #define LC_CODE_SIGNATURE 0x1d /* local of code signature */ #define LC_SEGMENT_SPLIT_INFO 0x1e /* local of info to split segments */ #define LC_REEXPORT_DYLIB (0x1f | LC_REQ_DYLD) /* load and re-export dylib */ #define LC_LAZY_LOAD_DYLIB 0x20 /* delay load of dylib until first use */ #define LC_ENCRYPTION_INFO 0x21 /* encrypted segment information */ #define LC_DYLD_INFO 0x22 /* compressed dyld information */ #define LC_DYLD_INFO_ONLY (0x22|LC_REQ_DYLD) /* compressed dyld information only */ #define LC_LOAD_UPWARD_DYLIB (0x23 | LC_REQ_DYLD) /* load upward dylib */ #define LC_VERSION_MIN_MACOSX 0x24 /* build for MacOSX min OS version */ #define LC_VERSION_MIN_IPHONEOS 0x25 /* build for iPhoneOS min OS version */ #define LC_FUNCTION_STARTS 0x26 /* compressed table of function start addresses */ #define LC_DYLD_ENVIRONMENT 0x27 /* string for dyld to treat like environment variable */ #define LC_MAIN (0x28|LC_REQ_DYLD) /* replacement for LC_UNIXTHREAD */ #define LC_DATA_IN_CODE 0x29 /* table of non-instructions in __text */ #define LC_SOURCE_VERSION 0x2A /* source version used to build binary */ #define LC_DYLIB_CODE_SIGN_DRS 0x2B /* Code signing DRs copied from linked dylibs */ #define LC_ENCRYPTION_INFO_64 0x2C /* 64-bit encrypted segment information */ #define LC_LINKER_OPTION 0x2D /* linker options in MH_OBJECT files */ #define LC_LINKER_OPTIMIZATION_HINT 0x2E /* optimization hints in MH_OBJECT files */ #define LC_VERSION_MIN_TVOS 0x2F /* build for AppleTV min OS version */ #define LC_VERSION_MIN_WATCHOS 0x30 /* build for Watch min OS version */ #define LC_NOTE 0x31 /* arbitrary data included within a Mach-O file */ #define LC_BUILD_VERSION 0x32 /* build for platform min OS version */

部分字段說明:
data 是MachO文件中最大的部分，其中 _TEXT段、 _DATA段能給到很多信息。load commands 和 data 之間還留有不少空間，給我們留下了注入代碼的沖破口：

_TEXT段名稱作用

_text	主程序代碼
_stubs、_stub_helper	動態鏈接
_objc_methodname	方法名稱
_objc_classname	類名稱
_objc_methtype	方法類型
_cstring	靜態字符串常量

_DATA段名稱作用

_got=Non-Lazy Symbol Pointers	非懶加載符號表
_la_symbol_ptr => Lazy Symbol Pointers	懶加載符號表
_objc_classlist	方法名稱
…	…

dyld

dyld（the dynamic link editor）是蘋果的動態鏈接器，是蘋果操作系統的一個重要組成部分，在系統內容做好程序準備工作之后，交由dyld負責余下的工作。
系統庫的方法由于是公用的，存放在共享緩存中，那么我們的MachO在調用系統方法時，dyld會將MachO里調用存放在共享緩存中的方法進行符號綁定。這個符號在 release環境是會被自動去掉的，這也是經常使用收集 bug 工具時需要恢復符號表的原因。

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的iOS逆向之深入解析MachO文件的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇： iOS之CALayer的CAEmitte
下一篇：【数据结构与算法】之单向循环链表的创建/