iOS逆向-Mach-O文件(二)

UIKit的Mach-O文件在哪里??

系統的動態庫

從iOS3.1開始,為了提高性能,絕大部分的系統動態庫文件都打包存放到了一個緩存文件中(dyld shared cache)
緩存文件路徑:/System/Library/Caches/com.apple.dyld/dyld_shared_cache_armX

dyld_shared_cache_armX的X代表ARM處理器指令集架構
v6 v7 v7s arm64
iPhone、iPhone3G iPhone3GS、iPhone4、iPhone4S iPhone5、iPhone5C iPhone5S、iPhone6、iPhone6 Plus、iPhone6S、iPhone6S Plus iPhoneSE、iPhone7、iPhone7 Plus、iPhone8、iPhone8 Plus、iPhoneX
4iPod Touch、iPod Touch2 iPad、iPad2、iPad3(The New iPad)iPad mini iPad4 * iPad5、iPad Air、iPad Air2、iPad Pro、iPad Pro2 iPad mini with Retina display、iPad mini3、iPad mini4
iPod Touch3G、iPod Touch4、iPod Touch5 iPod Touch6

所有指令集原則上都是向下兼容的
動態庫共享緩存一個非常明顯的好處是節省內存
現在的ida、Hopper反編譯工具都可以識別動態庫共享緩存

動態庫的加載

在Mac\iOS中,是使用了/usr/lib/dyld程序來加載動態庫
dynamic link editor,動態鏈接編輯器
dynamic loader,動態加載器
dyld源碼 https://opensource.apple.com/tarballs/dyld/

從動態庫共享緩存抽取動態庫

image.png
clang++ -o dsc_extractor dsc_extractor.cpp

Mach-O

Mach-O是Mach object的縮寫,是Mac\iOS上用于存儲程序、庫的標準格式
屬于Mach-O格式的文件類型有


image.png

常見的Mach-O文件類型

Mach-O是Mach object的縮寫,是Mac\iOS上用于存儲程序、庫的標準格式
屬于Mach-O格式的文件類型有

MH_OBJECT MH_EXECUTE MH_DYLIB MH_DYLINKER MH_DSYM
目標文件(.o) 可執行文件 動態庫文件 動態鏈接編輯器 存儲著二進制文件符號信息的文件
靜態庫文件(.a),靜態庫其實就是N個.o合并在一起 .app/xx .dylib .framework/xx /usr/lib/dyld .dSYM/Contents/Resources/DWARF/xx(常用于分析APP的崩潰信息)

Mach-O的基本結構

官方描述 https://developer.apple.com/library/content/documentation/DeveloperTools/Conceptual/MachOTopics/0-Introduction/introduction.html
一個Mach-O文件包含3個主要區域:

  • Header

  • 文件類型、目標架構類型等

  • Load commands

  • 描述文件在虛擬內存中的邏輯結構、布局

  • Raw segment data

  • 在Load commands中定義的Segment的原始數據


    image.png

窺探Mach-O的結構

命令行工具
file:查看Mach-O的文件類型
file 文件路徑

otool:查看Mach-O特定部分和段的內容

lipo:常用于多架構Mach-O文件的處理
查看架構信息:lipo -info 文件路徑
導出某種特定架構:lipo 文件路徑 -thin 架構類型 -output 輸出文件路徑
合并多種架構:lipo 文件路徑1 文件路徑2 -output 輸出文件路徑

GUI工具
MachOView(https://github.com/gdbinit/MachOView

Universal Binary(通用二進制文件)

  • 通用二進制文件
  • 同時適用于多種架構的二進制文件
  • 包含了多種不同架構的獨立的二進制文件
  • 因為需要儲存多種架構的代碼,通用二進制文件通常比單一平臺二進制的程序要大
  • 由于兩種架構有共同的一些資源,所以并不會達到單一版本的兩倍之多
  • 由于執行過程中,只調用一部分代碼,運行起來也不需要額外的內存
  • 因為文件比原來的要大,也被稱為“胖二進制文件”(Fat Binary)

dyld和Mach-O

  • dyld用于加載以下類型的Mach-O文件
  • MH_EXECUTE
  • MH_DYLIB
  • MH_BUNDLE
  • APP的可執行文件、動態庫都是由dyld負責加載的
最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個濱河市,隨后出現的幾起案子,更是在濱河造成了極大的恐慌,老刑警劉巖,帶你破解...
    沈念sama閱讀 227,572評論 6 531
  • 死咒
    序言:濱河連續發生了三起死亡事件,死亡現場離奇詭異,居然都是意外死亡,警方通過查閱死者的電腦和手機,發現死者居然都...
    沈念sama閱讀 98,071評論 3 414
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人,你說我怎么就攤上這事。” “怎么了?”我有些...
    開封第一講書人閱讀 175,409評論 0 373
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長。 經常有香客問我,道長,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 62,569評論 1 307
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮,結果婚禮上,老公的妹妹穿的比我還像新娘。我一直安慰自己,他們只是感情好,可當我...
    茶點故事閱讀 71,360評論 6 404
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著,像睡著了一般。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發上,一...
    開封第一講書人閱讀 54,895評論 1 321
  • 城市分裂傳說
    那天,我揣著相機與錄音,去河邊找鬼。 笑死,一個胖子當著我的面吹牛,可吹牛的內容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 42,979評論 3 440
  • 雙鴛鴦連環套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了?” 一聲冷哼從身側響起,我...
    開封第一講書人閱讀 42,123評論 0 286
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后,有當地人在樹林里發現了一具尸體,經...
    沈念sama閱讀 48,643評論 1 333
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內容為張勛視角 年9月15日...
    茶點故事閱讀 40,559評論 3 354
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發現自己被綠了。 大學時的朋友給我發了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 42,742評論 1 369
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖,靈堂內的尸體忽然破棺而出,到底是詐尸還是另有隱情,我是刑警寧澤,帶...
    沈念sama閱讀 38,250評論 5 356
  • ?日本核電站爆炸內幕
    正文 年R本政府宣布,位于F島的核電站,受9級特大地震影響,放射性物質發生泄漏。R本人自食惡果不足惜,卻給世界環境...
    茶點故事閱讀 43,981評論 3 346
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧,春花似錦、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 34,363評論 0 25
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至,卻和暖如春,著一層夾襖步出監牢的瞬間,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 35,622評論 1 280
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人。 一個月前我還...
    沈念sama閱讀 51,354評論 3 390
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 47,707評論 2 370

推薦閱讀更多精彩內容