一、代码断点的注意点
给脱壳的Mach-O文件打断点时,不能用函数名来打断点,要用函数地址来断点,并且加上地址偏移值。
1、登录手机;
2、手机监听10011端口发过来的指令:debugserver *:10011 -a WeChat;
3、Mac上进入lldb,连接本Mac的10011端口:
4、打断点
虽然说用函数的地址值来打断点可以成功,但实际并没有断点到这个函数,还需要加上地址偏移。
5、获取偏移地址
偏移地址如下:
image list -o -f
6、重新打断点
hooper上的地址102096354转换成十六进制0x102095f80.
这里看到的断点信息,跟hooper中看到的方法名是不一样的,因为hooper中的信息是release版本的信息,这是正常的。
7、验证断点打对了
二、MachO的虚拟内存分段
_PAGEZERO、_TEXT、_DATA、_LINKEDIT
这四个段从内存上看,都是挨着的。
iOS4.3开始引入了ASLR技术,也就是有了_PAGEZERO这个东西。
三、FileOffset、FileSize
1、_PAGEZERO
只有在载进内存的时候才会分配一个_PAGEZERO段。
2、_TEXT
从头部(Mach64 Header)开始都是代码段,一直到380C000为止,380C000又是下一段_DATA的开始,如下:
3、_DATA
Data载进内存后会变大
四、小结、讨论
五、ASLR简介
有了ASLR后,函数的内存地址每次都不一样。
六、获得函数的真实内存地址
hoop中显示的地址,是未使用ASLR的内存地址(VM Address)。
如何知道偏移地址:
image list -o -f
hooper上的地址102096354转换成十六进制0x102095f80.
这里看到的断点信息,跟hooper中看到的方法名是不一样的,因为hooper中的信息是release版本的信息,这是正常的。
公式
七、函数在MachO文件中的位置
方法一:hooper
hooper中展示的函数内存地址是没有ASLR的,但有_PAGEZERO,从0x100000000开始放代码段,对应回Mach-O文件是没有_PAGEZERO的,所以要减去0x100000000。
可看出0x2095f80在 0x4000 - 0x2FADCB8的范围内,说明这个函数在_text段。
方法二:ida64
ida文件大,分析的更详细,信息更多。
八、全局变量在MachO文件中的位置
证明下全局变量在MachO文件中的哪个位置。
1、在XCode中打印全局变量的内存地址;
2、计算后,对应到Mach-O文件的哪个区间;
这是真实的地址,包含了ASLR地址
ASLR偏移地址
计算出Mach-O中的地址
Mach-O地址 = 真实地址 - 偏移地址 - _PAGEZERO大小
举个例子,对比下,堆、栈、data段地址:
堆栈空间地址都是超大的,在data数据段的后面。
九、答疑
1、_PAGEZERO的作用是什么?
一个安全区域,防止错误:
网友评论