iOS安全和逆向系列教程第6篇 深入理解Mach-O文件格式

已于 2025-03-05 22:46:22 修改
阅读量691 收藏
点赞数 1
分类专栏: iOS安全和逆向系列教程 文章标签: cocoa macos objective-c
于 2025-03-02 00:00:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/braintrust2003/article/details/145956382
版权

iOS安全和逆向系列教程第6篇 深入理解Mach-O文件格式

在上一篇文章中,我们详细介绍了iOS应用开发的基础知识和实战分析方法。正如预告所述,本篇文章我们将正式开始探索Mach-O文件格式,这是iOS应用的二进制格式,深入理解它对于静态分析至关重要。

Mach-O格式概述

Mach-O(Mach Object)文件格式是macOS和iOS操作系统上的可执行文件、目标代码和共享库的文件格式。作为静态分析的基础,理解Mach-O文件结构对逆向工程师来说至关重要。

Mach-O的历史背景

Mach-O源自NeXTSTEP操作系统,后来被Apple采用作为macOS(原OS X)和iOS的标准二进制格式。它基于Mach内核设计,具有高度灵活性和可扩展性。

Mach-O文件类型

Mach-O文件主要有以下几种类型:

  • 执行文件(Executable):可直接运行的程序
  • 目标文件(Object File):编译后但未链接的代码
  • 动态库(Dynamic Library):运行时加载的共享代码(.dylib)
  • 静态库(Static Library):链接时合并到程序中的代码(.a)
  • Framework:包含头文件和资源的动态库包
  • 动态链接器(Dynamic Linker):负责加载和链接动态库

Mach-O文件基本结构

Mach-O文件由三个主要部分组成:

  1. Header:包含文件类型、目标架构等基本信息
  2. Load Commands:指示动态链接器如何加载文件
  3. Segments:包含代码和数据的实际内容

让我们详细探讨每个部分。

1. Mach-O Header分析

Mach-O头部包含识别文件类型和目标架构的基本信息。头部结构定义在<mach-o/loader.h>中:

struct mach_header_64 {
    uint32_t magic;      // 魔数,标识文件类型和位数
    cpu_type_t cputype;  // CPU类型
    cpu_subtype_t cpusubtype; // CPU子类型
    uint32_t filetype;   // 文件类型
    uint32_t ncmds;      // Load Commands数量
    uint32_t sizeofcmds; // Load Commands总大小
    uint32_t flags;      // 标志位
    uint32_t reserved;   // 64位保留字段
};
magic字段

magic字段是一个32位无符号整数,用于标识文件是32位还是64位,以及字节序:

  • 0xFEEDFACE: 32位小端序Mach-O文件
  • 0xFEEDFACF: 64位小端序Mach-O文件
  • 0xCEFAEDFE: 32位大端序Mach-O文件
  • 0xCFFAEDFE: 64位大端序Mach-O文件
cputype和cpusubtype字段

这两个字段标识目标架构:

  • CPU_TYPE_ARM64: ARM64架构(iPhone 5s及更高版本)
  • CPU_TYPE_ARM: ARM架构(旧款iOS设备)
  • CPU_TYPE_X86_64: Intel 64位架构(iOS模拟器)
filetype字段

filetype字段标识文件类型:

  • MH_EXECUTE: 可执行文件
  • MH_DYLIB: 动态库
  • MH_BUNDLE: 插件Bundle
  • MH_OBJECT: 目标文件
flags字段

flags字段包含重要的标记信息:

  • MH_PIE: 启用地址空间布局随机化(ASLR)
  • MH_NOUNDEFS: 不存在未定义的符号引用
  • MH_DYLDLINK: 文件由动态链接器加载

2. Load Commands解析

Load Commands指示动态链接器如何处理Mach-O文件。它们紧跟在Header之后,数量由Header中的ncmds字段指定。

每个Load Command都以相同的基本结构开始:

struct load_command {
    uint32_t cmd;       // 命令类型
    uint32_t cmdsize;   // 命令大小
};
常见的Load Commands类型

  1. LC_SEGMENT_64:定义64位内存段

    struct segment_command_64 {
    uint32_t cmd;        // LC_SEGMENT_64
    uint32_t cmdsize;    // 命令大小
    char segname[16];    // 段名称(如__TEXT, __DATA)
    uint64_t vmaddr;     // 内存中的虚拟地址
    uint64_t vmsize;     // 内存中的大小
    uint64_t fileoff;    // 文件中的偏移
    uint64_t filesize;   // 文件中的大小
    vm_prot_t maxprot;   // 最大内存保护
    vm_prot_t initprot;  // 初始内存保护
    uint32_t nsects;     // 段中区段数量
    uint32_t flags;      // 标志位
};

  2. LC_SYMTAB:符号表信息

    struct symtab_command {
    uint32_t cmd;        // LC_SYMTAB
    uint32_t cmdsize;    // 命令大小
    uint32_t symoff;     // 符号表偏移
    uint32_t nsyms;      // 符号数量
    uint32_t stroff;     // 字符串表偏移
    uint32_t strsize;    // 字符串表大小
};

  3. LC_DYLD_INFO_ONLY:动态链接信息

    struct dyld_info_command {
    uint32_t cmd;           // LC_DYLD_INFO或LC_DYLD_INFO_ONLY
    uint32_t cmdsize;       // 命令大小
    uint32_t rebase_off;    // 重定位信息偏移
    uint32_t rebase_size;   // 重定位信息大小
    uint32_t bind_off;      // 符号绑定信息偏移
    uint32_t bind_size;     // 符号绑定信息大小
    uint32_t weak_bind_off; // 弱符号绑定信息偏移
    uint32_t weak_bind_size;// 弱符号绑定信息大小
    uint32_t lazy_bind_off; // 延迟绑定信息偏移
    uint32_t lazy_bind_size;// 延迟绑定信息大小
    uint32_t export_off;    // 导出信息偏移
    uint32_t export_size;   // 导出信息大小
};

  4. LC_LOAD_DYLIB:加载动态库

    struct dylib_command {
    uint32_t cmd;            // LC_LOAD_DYLIB
    uint32_t cmdsize;        // 命令大小
    struct dylib dylib;      // 动态库信息
};

  5. LC_MAIN:主程序入口点

    struct entry_point_command {
    uint32_t cmd;            // LC_MAIN
    uint32_t cmdsize;        // 命令大小
    uint64_t entryoff;       // 入口点偏移
    uint64_t stacksize;      // 初始线程栈大小
};

3. Segments与Sections详解

Segments是Mach-O文件的主要组成部分,每个Segment又可以包含多个Sections。

常见的Segments

  1. __TEXT段:包含只读、可执行的代码和数据

    • __text section:编译后的机器码
    • __stubs section:动态链接器存根
    • __stub_helper section:动态链接器辅助存根
    • __cstring section:C字符串
    • __const section:常量数据

  2. __DATA段:包含可读写的数据

    • __data section:初始化的全局变量
    • __la_symbol_ptr section:延迟符号指针
    • __nl_symbol_ptr section:非延迟符号指针
    • __bss section:未初始化的全局变量
    • __objc sections:Objective-C运行时数据

  3. __LINKEDIT段:包含动态链接器使用的信息,如符号表、字符串表等

使用工具分析Mach-O文件

以下是几个常用的命令行工具,可以帮助分析Mach-O文件:

1. file命令

file /path/to/binary

这个基本命令能够识别文件类型,对于Mach-O文件,它还会显示架构信息。

2. otool命令

otool(object file displaying tool)是macOS上的一个强大工具:

# 显示header信息
otool -h /path/to/binary

# 显示load commands
otool -l /path/to/binary

# 显示__text section内容(反汇编)
otool -tv /path/to/binary

# 显示动态库依赖
otool -L /path/to/binary

3. MachOView

MachOView是一个图形界面工具,提供了Mach-O文件的可视化分析:

  • 可以浏览所有Header、Load Commands和Segments
  • 支持十六进制查看和编辑
  • 提供符号表和字符串表的搜索功能

实战:分析一个简单的iOS应用

让我们使用上面介绍的知识和工具,分析一个简单的iOS应用。

步骤1:提取并查看基本信息

首先,我们需要从设备中提取应用二进制文件,并查看其基本信息:

# 查看文件类型和架构
file SampleApp

# 输出示例
# SampleApp: Mach-O 64-bit arm64 executable, flags:<NOUNDEFS|DYLDLINK|TWOLEVEL|PIE>

步骤2:分析Header

otool -h SampleApp

# 输出示例
# Mach header
#     magic cputype cpusubtype  caps    filetype ncmds sizeofcmds      flags
# 0xfeedfacf 16777228          0  0x00      2    38       4032   0x00200085

从输出可以看出:

  • magic: 0xfeedfacf(64位Mach-O)
  • cputype: 16777228(ARM64)
  • filetype: 2(MH_EXECUTE,可执行文件)
  • flags: 0x00200085(包含PIE、DYLDLINK等标志)

步骤3:查看Load Commands

otool -l SampleApp | less

这将显示所有的Load Commands,我们可以查找感兴趣的信息,如:

Load command 0
    cmd LC_SEGMENT_64
    cmdsize 72
    segname __PAGEZERO
    vmaddr 0x0000000000000000
    vmsize 0x0000000100000000
    ...

Load command 1
    cmd LC_SEGMENT_64
    cmdsize 552
    segname __TEXT
    vmaddr 0x0000000100000000
    vmsize 0x0000000000004000
    ...

步骤4:分析入口点

我们可以找到LC_MAIN命令来确定程序的入口点:

otool -l SampleApp | grep -A5 LC_MAIN

# 输出示例
# cmd LC_MAIN
# cmdsize 24
# entryoff 16384
# stacksize 0

这表明入口点位于文件偏移16384处。

步骤5:查看动态库依赖

otool -L SampleApp

# 输出示例
# SampleApp:
#     /System/Library/Frameworks/UIKit.framework/UIKit (compatibility version 1.0.0, current version 3698.138.4)
#     /System/Library/Frameworks/Foundation.framework/Foundation (compatibility version 300.0.0, current version 1437.141.0)
#     ...

这显示了应用依赖的所有动态库,这对理解应用功能很有帮助。

步骤6:查看符号表

如果二进制文件没有被strip,我们可以查看符号表:

nm -nm SampleApp | less

这会列出所有符号,包括类名、方法名和全局变量。

Mach-O文件格式与逆向工程

理解Mach-O文件格式对iOS逆向工程有以下重要意义:

  1. 定位关键函数:通过分析符号表和__objc_*sections,可以找到类和方法的定义
  2. 理解内存布局:知道段和节的内存分布,有助于动态分析和修改
  3. 识别保护措施:通过flags和段保护属性,了解应用使用的安全措施
  4. 依赖分析:通过查看依赖的库,可以推断应用的功能和可能的漏洞

进阶技巧

1. 修改Mach-O文件

使用十六进制编辑器可以修改Mach-O文件,但需注意:

  • 修改后需要重新签名
  • 不能随意更改文件大小,除非同时调整所有相关偏移
  • 修改受保护段需要调整签名和校验和

2. FAT二进制文件分析

iOS应用可能是包含多个架构的FAT二进制:

# 检查是否为FAT二进制
file SampleApp

# 提取特定架构
lipo -thin arm64 SampleApp -output SampleApp_arm64

3. 加密检测与解密

商店应用通常是加密的,需要先解密:

# 检查是否加密
otool -l SampleApp | grep -A4 LC_ENCRYPTION_INFO

# 如果加密,需要使用工具进行解密
# 例如在越狱设备上使用dumpdecrypted或frida-ios-dump

总结

Mach-O文件格式是iOS应用静态分析的基础。通过理解其结构和使用适当的工具,我们可以:

  • 获取应用基本信息和架构
  • 分析加载命令和内存布局
  • 发现代码段和数据段的组织方式
  • 了解应用依赖和符号表

掌握Mach-O文件格式是iOS逆向工程路上的重要一步,它为我们提供了静态分析的基础,并为后续的动态分析做好准备。

在下一篇文章中,我们将深入探讨iOS应用的静态分析方法,包括常用工具的使用技巧、反汇编代码的分析方法以及如何从静态分析中发现应用的关键逻辑。

作者:自学不成才
本文为iOS逆向工程专栏的文章,版权所有,未经许可请勿转载。

iOS安全逆向系列教程 第3:搭建iOS逆向开发环境 (上) - 工具链与基础配置
一个自学不成材的程序员
03-01 1154
必要的硬件准备macOS基础环境配置核心逆向工具的安装与使用环境测试方法常见问题解决方案这些工具配置为我们后续的逆向分析工作奠定了基础。记住,工具只是手段,真正重要的是理解它们背后的原理用法。在下一文章中,我们将继续搭建环境的后半部分,重点关注越狱设备的配置、远程连接、SSL流量分析等更高级的工具设置,以及如何将这些工具集成起来形成一个完整的工作流程。如果你在环境搭建过程中遇到任何问题,或者对某些工具有更深入的疑问,欢迎在评论区留言交流!作者:自学不成才。
iOS安全逆向系列教程 第5 iOS基础开发知识速览 - 理解你要逆向的目标
一个自学不成材的程序员
03-01 953
Objective-CSwift的基础语法特点iOS应用生命周期页面生命周期UI架构常用组件常用系统框架API常见应用功能的实现方式保护机制对策实用技巧实战分析方法这些知识为我们后续的逆向工程工作提供了必要的理论基础。记住,逆向工程就像破解谜题,了解开发者如何构建应用,才能更有效地分析修改它。在下一文章中,我们将正式开始介绍Mach-O文件格式,这是iOS应用的二进制格式,深入理解它对于静态分析至关重要。
iOS 逆向编程(十九)Mach-O 入门了解(如何通过 Mach-O 逆向 APP 思路)
2401_84140023的博客
04-17 824
中年危机是真实存在的,即便有技术傍身,还是难免对自己的生存能力产生质疑焦虑,这些年职业发展,一直在寻求消除焦虑的依靠。技术要深入到什么程度?做久了技术总要转型管理?我能做什么,我想做什么?一技之长,就是深耕你的专业技能,你的专业技术。(重点)独立做事,当你的一技之长达到一定深度的时候,需要开始思考如何独立做事。(创业)拥有事业,选择一份使命,带领团队实现它。(创业)一技之长分五个层次栈内技术 - 是指你的前端专业领域技术栈外技术 - 是指栈内技术的上下游,领域外的相关专业知识。
IOS逆向学习-Mach-o
yong_19930826的博客
03-18 653
IOS逆向学习-Mach-o 可以分析以下苹果框架的方法调用流程, 可以看一些伪代码 ,大概知道调用过程 还是比较实用的 遗留问题解决: 资源在文件夹课件中 在我们需要往app中添加一些控件来调试app时,如果你创建一个对象不成功,可能是当前对象对应的framework动态库没有被导入到app中,这时候可能需要你先导入动态链接库,然后在创建对象试试 系统动态库的Mach-o文件位置(UIKit为例) ...
逆向基础之 - Mach-O
u013712343的博客
05-18 564
Mach-O(Mach Object)是一种可执行文件格式
iOS-MachO文件介绍
gcs的博客
02-02 428
文章主要分析MachO文件(也称作二进制可执行文件),相信大家在平时开发中都会碰到MachO文件这个概念,但是大部分人不清楚是个什么东西,本文章就大家一起来具体分析它的由来以及它的内部结构。
Mach-O文件初识
Spencer Yang的博客
05-28 617
一、什么是Mach-O文件? Mach-O 即 Mach Object,它是一种文件格式(Mac OS 二进制可执行文件)。 二、Mach-O 文件内容详解 Mach-O 二进制文件由段(segment)组成,可通过 MachOView 查看。 一个segment由零个或者多个section组成,每个section里面会放置不同的数据或代码。 segment需要页对齐(Mac OS 页大小4k,iOS 页大小16k),section不一定是页面对齐的。 segment、section命名规则: (1)se
iOS安全逆向系列教程 第4:搭建iOS逆向开发环境 (下) - 越狱设备与高级工具配置
一个自学不成材的程序员
03-01 1214
越狱设备的选择与配置远程连接工具的安装与使用高级分析工具的配置与调试应用获取与解密的完整流程实际工作流程演示脚本工具至此,我们已经拥有了一个完整、强大的iOS逆向工程环境,为后续的实际分析修改工作打下了坚实基础。记住,工具只是手段,关键是掌握使用这些工具的方法原理。一个好的逆向工程师不仅需要了解各种工具的使用,还需要对iOS系统有深入理解,这样才能在分析过程中知道该查找什么,该如何修改。
iOS安全逆向系列教程 第11iOS应用混淆与加固技术
最新发布
一个自学不成材的程序员
03-02 120
在本文中,我们从iOS应用开发者的角度,详细探讨了应用混淆与加固技术。我们介绍了从代码层面、运行时、数据保护到高级保护技术的全面解决方案,旨在增加逆向工程的难度,保护应用的核心资产用户数据安全
[iOS]分析Mach-O文件
Gamin
11-18 3058
Mach-O为Mach Object文件格式的缩写,它是一种用于可执行文件,目标代码,动态库,内核转储的文件格式。 每个Mach-O文件包括一个Mach-O头,然后是一系列的载入命令,再是一个或多个块,每个块包括0到255个段。
iOS进阶 - Mach-O文件解析
KevenLin的博客
06-18 1288
Segment load command 分为32位64位,32位64位的 Segment load command 基本类似,只不过在64位的结构中,把寻址相关的数据类型,由32位的 uint32_t 改为了64位的 uint64_t 类型。在这么多的 load command 中,需要我们重点关注的是 segment load command。是一个特殊的 Segment,这个 Segment 其实是苹果虚拟出来的,只是一个逻辑上的段,而在Data中,根本没有对应的内容,也没有占用任何硬盘空间。
IOS逆向(3)Mach-O
weixin_44282723的博客
01-19 1990
Mach-O是Mach object的缩写,是Mac/IOS上的存储格式、库的标准格式。
mach-o 介绍
chqj_163的专栏
10-24 1330
一、简介 Mach-O是一种文件格式,是mac上可执行文件的格式,类似于windows上的PE格式 (Portable Executable ), linux上的elf格式 (Executable and Linking Format)。我们编写的C、C++、swift、OC,最终编译链接生成Mach-O可执行文件 二、mach-o文件类型分为: image 总共有11种。 M...
iOS开发:Mach-O入门理解
chenzimin_blog
06-27 2365
Mach-O:是的缩写,是Mac\iOS上用于存储程序、库的标准格式。属于Mach-O格式的文件类型有: 可以在源码中,可以查看到Mach-O格式的详细定义(https://opensource.apple.com/tarballs/xnu/)1、MH_OBJECT2、MH_EXECUTE:可执行文件3、MH_DYLIB:动态库文件4、MH_DYLINKER:动态链接编辑器5、MH_DSYM:存储着二进制文件符号信息的文件.o文件编译生成的流程: 官方描述 https://developer.apple.c
今日头条 iOS 安装包大小优化 - 新阶段、新实践(1)
2401_84149814的博客
05-06 1193
因此,开启 Oz,能减小二进制的大小,但同时理论上会带来执行效率的额外消耗。总大小大约 60B。有许多来自一线的技术大牛,也有在小厂或外包公司奋斗的码农,我们致力打造一个平等,高质量的Android交流圈子,不一定能短期就让每个人的技术突飞猛进,但从长远来说,眼光,格局,长远发展的方向才是最重要的。有许多来自一线的技术大牛,也有在小厂或外包公司奋斗的码农,我们致力打造一个平等,高质量的Android交流圈子,不一定能短期就让每个人的技术突飞猛进,但从长远来说,眼光,格局,长远发展的方向才是最重要的。
iOS 优化App启动时间-启动详解(上),学习网页前端开发
2401_84103903的博客
04-03 1038
正值金三银四招聘旺季,很多小伙伴都询问我有没有前端方面的面试题,特地整理出来赠送给大家!资料领取方式:点击这里前往免费获取厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**如果你觉得这些内容对你有帮助,可以扫码获取!!(备注:前端)正值金三银四招聘旺季,很多小伙伴都询问我有没有前端方面的面试题,特地整理出来赠送给大家!资料领取方式:点击这里前往免费获取资料领取方式:点击这里前往免费获取。
Mach-O
技术博客记录
05-12 346
代码分析,就是对Mach-O文件进行静态分析,推荐使用MachOView、class-dump、Hopper Disassembler、ida等工具 (Mach-O是什么,这些工具怎么用,别着急,下面会对Mach-O文件进行详细介绍;界面分析,就是查看视图层级结构,推荐使用Cycript或者Reveal,Cycript可以以文字的形式查看层级结构,Reveal可以以3D的视角查看层级结构,这两个工具的使用前边已经说过了。所以,我们应该从界面分析、代码分析、动态调试、代码注入这几个方面进行分析。
Mach-O文件介绍
TuGeLe的博客
07-11 3028
在Linux操作系统上,以及很多的类Unix操作系统,可执行文件的格式是ELF。mac OS虽然也是类Unix操作系统,然而mac OS以及iOS上,可执行文件的格式是Mach-O。 先理清一个易混淆的点,Mach-OMac没有什么关系。Mac是苹果电脑Macintosh的简称,而Mach是一种操作系统微内核,苹果公司的设备上操作系统内核使用的是Mach。在Mach内核中,一种可执行文件格式是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

自学不成才

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值