iOS逆向工程（五）：浅析Mach-O

浅析Mach-O

一、逆向APP的思路

想要逆向别人的APP，需要先思考几个问题：它的UI是怎么布局的、视图结构是怎样的；代码是什么写的，用了什么类，用了什么方法；应该怎么Hook才能达到我想要的效果

所以，我们应该从界面分析、代码分析、动态调试、代码注入这几个方面进行分析

• 1. 界面分析，就是查看视图层级结构，推荐使用Cycript或者Reveal，Cycript可以以文字的形式查看层级结构，Reveal可以以3D的视角查看层级结构，这两个工具的使用前边已经说过了
• 2. 代码分析，就是对Mach-O文件进行静态分析，推荐使用MachOView、class-dump、Hopper Disassembler、ida等工具 （Mach-O是什么，这些工具怎么用，别着急，下面会对Mach-O文件进行详细介绍； 静态分析就是APP不运行）
• 3. 动态调试，就是对运行中的APP进行代码调试，推荐使用debugserver、LLDB等工具，我们后面也会有详细介绍
• 4.代码编写及注入，就是将自己写的代码注入到别人的APP中，必要时还可以重新签名，并打包成ipa，我们后面也会有详细介绍

二、Mach-O是什么呢？

• 1. Mach-O是Mach object的缩写，是Mac/iOS上用于存储程序、库的标准格式，也就是说我们平常开发APP写的代码就在Mach-O文件中，想要分析代码，就得分析Mach-O文件

• 2. Mach-O其实就在ipa文件中，我们把.ipa文件的后缀名修改.zip，然后解压，打开里面的Payload文件夹，再对里面的.app文件显示包内容，就可以得到一个Unix可执行文件，这个文件就是我们要找的Mach-O格式的文件了，如下图所示

• 3. Mach-O格式的文件类型，除了上面说的可执行文件外，还有很多种文件类型，如下所示，下面这些文件类型都是Mach-O格式的，我们可以在xnu内核源码中，找到对Mach-O格式的详细定义
• 4. 我们来看看逆向过程中，经常遇见的Mach-O文件类型：

  • MH_OBJECT，这种类型的文件有目标文件(.o)、静态库文件(.a) （静态库文件就是N个.o文件合并在一起的）

  • MH_EXECUTE，可执行文件，例如上面说的Super文件

  • MH_DYLIB，动态库文件，包括.dylib、.framework

  • MH_DYLINKER，动态链接编辑器，例如：位于手机这里的Device/usr/lib/的dyld程序

  • MH_DSYM，存储二进制符号信息的文件，dsym文件常用于分析APP的崩溃信息

• 5. 一个Mach-O格式的文件主要包含下面三个区域：

  • Header区域，用来存放文件类型 、目标架构类型（例如：arm64、armv7、armv7s等架构）

  • Load commands区域，用来描述文件在虚拟内存中的逻辑结构、布局，通俗来讲 ，就是存储着各段数据的大小、分段、地址等信息

  • Raw segment data区域，存放着各段的原始数据，就是Load commands区域描述的地址所指向的数据
• 6. 我们可以通过MachOView工具，来查看一个Mach-O格式的文件的内部数据，我们以皮皮虾APP的可执行文件为例，进行查看：

  • 首先，我们可以看到Fat Binary，就是胖二进制文件，意味着这个Mach-O文件包含着多种架构，点击Fat Header就可以看到，果然有两种架构，分别是armv7、arm64

  • 然后，我们点击ARM_V7中的Mach Header，就可以看出来它的File Type是MH_EXECUTE，就是我们所讲的其中一种类型

  • 我们读取Raw segment data区域的classrefs段的数据，我们就可以知道皮皮虾APP用到了哪些类

三、使用class-dump工具对Mach-O文件进行分析

• 1. 我们写的代码就存放在Mach-O文件中，对Mach-O文件进行分析，就分析出很多东西，例如：架构信息、类的头文件、汇编代码、伪代码等等，市面上有很多好用的工具，来帮助我们分析Mach-O文件，例如：class-dump、Hopper Disassembler等工具，这些工具的本质就是对Mach-O文件的解析，然后以比较直观的形式展现了出来。
• 2. class-dump工具的作用就是把Mach-O文件的类信息导出来，生成对应的.h文件。（可执行文件寻找方法：ipa->zip->Payload文件夹->显示包内容->unix可执行文件，这个可执行文件就是Mach-O格式的，可以class-dump）
• 3. class-dump的用法，就两步：

  • 下载class-dump工具，下载完后，把class-dump文件复制到Mac的/usr/local/bin目录下，这样终端就可以识别class-dump命令了

  • 对脱壳App的可执行文件使用class-dump命令，命令语法：class-dump -H Mach-O文件路径 -o 头文件存放目录，-H表示要生成头文件，-o用于制定头文件的存放目录

• 4. 使用class-dump工具的前提是，App已经脱壳，因为凡是上传到AppStore的App，AppStore都会自动对其进行加壳，加壳App的可执行文件是不能class-dump导出头文件的，需要脱壳之后才可以。（如果直接对加壳App的可执行文件class-dump操作，只会得到一个CDStructures.h文件，如下所示，并不会得到头文件）
• 5. 脱壳工具有很多种，例如：Clutch工具、dumpdecrypted工具、CrackerXI+工具、frida-ios-dump工具，这里推荐使用frida-ios-dump工具或者CrackerXI+工具脱壳，因为Clutch和dumpdecrypted已经多年不更新了，在对iOS12以后的应用脱壳，很有可能失败。
• 6. 在对脱壳App的可执行文件进行class-dump操作后，就可以得到它的头文件了，例如：导出微信的头文件：class-dump -H WeChat -o WeChatHeaders，效果如下所示：

四、补充知识：处理器指令集架构

• 1. 从iOS 3.1开始，为了提高性能，手机里的绝大部分的系统动态库文件都打包存放到了一个缓存文件夹中，所有程序都共享了这个动态库，这个文件夹的路径是：Device/System/Library/Caches/com.apple.dyld/，这个文件夹 下面存放着dyld_shared_cache_arm64、dyld_shared_cache_armv7s、dyld_shared_cache_armv7、dyld_shared_cache_armv6中的一个动态库缓存文件，之所以要动态库共享缓存，是因为这样做有一个非常明显的好处，就是节省内存
• 2. ARM处理器指令集架构有arm64、armv7s、armv7、armv6等多种架构，从iPhone5S开始就使用arm64架构的处理器了
• 3. 所有的指令集原则上都是向下兼容的，例如：arm64架构的支持armv7s的程序

• 4.现在的ida、Hopper等反编译工具都可以识别动态库共享缓存

• 5.先上一张官网原理图：

  
  
  
  

  总体来说，步骤是这样的：

• 先找到四张表Lazy Symbol Pointer Table、Indirect Symbol Table、Symbol Table、String Table。

• MachO有个规律：Lazy Symbol Pointer Table中第index行代表的函数和Indirect Symbol Table中第index行代表的函数是一样的。

• Indirect Symbol Table中value值表示Symbol Table的index。

• 找到Symbol Table的中对应index的对象，其data代表String Table的偏移值。

• 用String Table的基值，也就是第一行的pFile值，加上Symbol Table的中取到的偏移值，就能得到Indirect Symbol Table中value（这个value代表函数的偏移值）代表的函数名了。