iOS逆向：Mach-O

目录
一，APP从开发到安装的过程
二，class-dump
三，Hopper Disassembler
四，动态库共享缓存
五，Mach-O文件类型
六，Mach-O基本结构

一，APP从开发到安装的过程

1，打包

• 图解

• 说明

1>代码会被编译为可执行文件
2>可执行文件的格式为Mach-O

2，安装

• 图解

• 说明

1>有证书才能安装
2>手机版本不低于目标版本才能安装

二，class-dump

1，介绍

• 它能够导出Mach-O文件中所有的.h文件

• 下载地址：http://stevenygard.com/projects/class-dump

2，使用

• 将class-dump可执行文件添加到Mac的/usr/local/bin目录下

• 用爱思助手安装APP

• 在下载中心中找到ipa文件并解压

• 在包内容中找到Mach-O文件并拷贝到桌面上

• 用class-dump导出.h文件：class-dump -H [Mach-O文件路径] -o [.h文件存放路径]

1>从App Store下载的是经过加密的，暂时无法导出（需要先脱壳）

2>自己打的包没有加密，可以导出

三，Hopper Disassembler

1，代码编译过程

• 图解

• 说明

1>Mach-O文件中的是机器代码
2>汇编代码和机器代码是一一对应的，所以机器代码能够完全反编译为汇编代码
3>不同的OC代码编译出来的汇编代码可能是一样的，所以汇编代码不能完全反编译为OC代码

2，Hopper工具

• 介绍

1>它能将Mach-O文件的机器代码反编译为汇编代码和OC伪代码
2>下载地址：http://www.sdifen.com/hopperdisassembler408.html

• 使用

1>将Mach-O文件拖入其中并选择arm64

2>从App Store下载的是经过加密的，基本无法阅读（需要先脱壳）

3>自己打的包没有加密，可以阅读

4>机器代码，汇编代码，OC伪代码

四，动态库共享缓存

1，动态库存放位置

• /System/Library/Frameworks中只有动态库的描述文件

• 动态库的Mach-O文件存放在/System/Library/Caches/com.apple.dyld中的共享缓存文件里

• 共享缓存文件是所有APP共用的，这样能够节省内存开销

• ARM处理器指令集架构

1>四种架构：armv6，armv7，armv7s，arm64
2>从iPhone5s开始使用arm64架构
3>架构具有向下兼容的特性

2，动态库加载

• 我们传的是/System/Library/Frameworks路径，系统是如何加载共享缓存文件中动态库的

• 系统是利用/usr/lib目录下dyld程序来加载的

• dyld是dynamic link editor（动态链接编辑器）的缩写（源码地址：https://opensource.apple.com/tarballs/dyld）

3，动态库提取

• Hopper能够识别共享缓存文件，将dyld_shared_cache_arm64从iPhone中导出，然后拖入其中

• 手动从共享缓存文件中提取动态库

1>将dsc_extractor.cpp文件中#if 0上面的代码和#endif注释掉

2>进入dsc_extractor.cpp文件所在的目录，执行：clang++ -o dsc_extractor dsc_extractor.cpp，会生成一个可执行文件

3>将可执行文件和dyld_shared_cache_arm64文件放入同一个目录下，进入该目录执行：./dsc_extractor dyld_shared_cache_arm64 arm64

4>抽取arm64报错，因为从Xcode10开始不能使用dsc_extractor.bundle，但不影响armv7s

五，Mach-O文件类型

1，介绍

• Mach-O是Mach Object的缩写，它是Mac和iOS系统上多种文件的存储格式

• 所有Mach-O格式的文件类型（源码地址：https://opensource.apple.com/tarballs/xnu）

• 在Xcode中查看target的Mach-O类型（一般无需修改）

2，常见文件类型

• MH_OBJECT

1>目标文件（.o）

2>静态库（.a）

• MH_EXECUTE：可执行文件

• MH_DYLIB：动态库

1>.dylib

2>.framework

• MH_DYLINKER：动态链接编辑器

• MH_DSYM：符号信息文件（.dSYM）

3，dyld用于加载以下文件

• MH_EXECUTE：可执行文件

• MH_DYLIB：动态库

• MH_BUNDLE：包文件

4，通用二进制文件（universal binary）

• 介绍

1>不同的设备架构是不一样的，比如：iPhone4是armv7，iPhone5是armv7s，iPhone6是arm64

2>为了让我们开发的APP能够运行在不同的设备上，生成的可执行文件必须包含不同架构的二进制文件，该可执行文件就称为通用二进制文件

3>在设备上运行时只会执行对应架构的代码，不会增加内存的开销

4>因为比单一架构的文件大，所以也被称为“胖二进制文件”（fat binary）

• 在Xcode中查看target的架构类型（一般无需修改）

• 将通用二进制文件拆分为不同架构的二进制文件：lipo [通用文件名] -thin [架构名称] -output [输出文件名]

• 将不同架构的二进制文件合并为通用二进制文件：lipo -create [单一文件名1] [单一文件名2] -output [输出文件名]

• Hopper能够识别通用二进制文件

ting_64 ting2

六，Mach-O基本结构

1，结构

• 官方文档https://developer.apple.com/library/archive/documentation/DeveloperTools/Conceptual/MachOTopics/0-Introduction/introduction.html

• 图解

• 说明

1>Header：文件类型、架构类型等信息
2>Load commands：描述文件数据在内存中是如何分布的
3>Raw segment data：文件数据在内存中的具体分布

2，用otool命令查看结构信息

3，用MachOView工具查看结构信息

下载地址：https://sourceforge.net/projects/machoview

本文章仅供学习交流，如有侵权，请联系删除，谢谢！