ios逆向- 02Mach-O文件简介.o.a动态库等

Mach-O文件

官方介绍总共有11种格式! 是 Mach Object的缩写,是Mac\iOS 上用于存储程序,库的标准格式!
常见的格式:

• 1.可执行文件
• 2.objcet
  • .o 文件(目标文件)
  • .a 静态库文件.其实就是N个.o文件的集合
• 3.DYLIB: 动态库文件
  • dylib
  • framework
• 4.动态连接器
• 5.DSYM （打包上架用于监测崩溃信息）

.o文件介绍

1.cmd+n创建一个c文件，c文件输入以下代码：

  #include "test.h"
  #include 

  int main()
  {
      printf("test\n");
      return 0;
  }

2.打开终端输入以下指令：

cd   ... //将目录cd到c文件创建的文件夹
ls   //查看列表 会看到test.c文件
clang -c test.c  //将c转化成.o目标文件
ls 
file test.o  //结果：test.o: Mach-O 64-bit object x86_64 即.o文件为Mach-O文件
file weChat  //则是微信的MachO文件 结果为：
//weChat: Mach-O universal binary with 2 architectures: [arm_v7:Mach-O executable arm_v7] [arm64]
//weChat (for architecture armv7):  Mach-O executable arm_v7
//weChat (for architecture arm64):  Mach-O 64-bit executable arm64
 clang test.o //将目标文件输出
ls  // 出现 a.out 输出执行文件
./a.out  //输出结果 test 跟代码执行结果一直
clang -o test1 test.o 
ls //  test1 出现test1可执行文件 
open .  //打开当前文件夹 可查看可执行文件
clang -o test2 test.c   //直接将c文件编译成可执行文件
ls //test2 出现test2可执行文件 跟.o文件编译结果一致

3.根据以上代码可以得出以下效果，如图：

.o文件为Mach-O文件

4.拓展 接上面环境 创建新的.c文件代码如下：

testSub.c //新文件名
void test()
{
    printf("testSub\n");
    return;
}

test.c //文件代码修改 如下
#include "test.h"
#include 

void test();

int main()
{
    printf("test\n");
    test();
    return 0;
}

5.解析从上面代码来看，两个.c文件是关联的，然后将两个文件编译成一个可执行文件如图：

.o文件集合

6.可以看出文件有关联在编译成可执行文件后会自动关联起来，并且关联顺序不影响程序执行结果。

.a文件介绍

1..a文件为.o文件的集合。
2.找到系统文件查看文件类型如下：

.a文件

动态库文件

.dylib

1.查找系统动态库查看其属性。
2.执行代码如下：

find /usr/lib -name "*.dylib" //查找动态库后缀
file /usr/lib/system/libunc.dylib //查看某一动态库属性

3.结果图：

.dylib文件属性

动态库共享缓存

为了提高性能,系统的动态库文件都存在了动态库共享缓存里面!
动态库是为了，节省内存提高性能。

位置

由于ios由于没有越狱是看不到动态共享缓存库的，但是mac是可以看到的：

 cd /var/db/dyld
ls //得到结果如下
//dyld_shared_cache_i386        dyld_shared_cache_x86_64h     
//shared_region_roots
//dyld_shared_cache_i386.map    dyld_shared_cache_x86_64h.map

动态库缓存在dyld_shared_cache_x86_64h 中。
手机如果越狱找到了这个文件就能看见UIKit的框架在其中，然后用ida分析和Class-dump去导出就可以分析很多系统框架的源码了。
所以，越狱手机可以对系统做一些逆向。

动态缓存库运行原理

如下图：

动态缓存库运行原理

动态加载器（动态链接器）(dyld)

• dynamic linker
• dynamic loader
  用于调用动态缓存库ios同理

• 动态加载器位置 打开终端输入命令行：

cd /usr/lib
ls
open .

打开文件夹后看到dyld的可执行文件,查看属性：

file dyld

获得如下结果

动态链接器

可以看出动态链接器其实本质也是Mach-O文件。