03-什么是Mach-O文件?
App从开发到安装到手机上的过程
想要了解Mach-O文件,首先要了解从编写代码,开发App到App打包并安装到手机上的整个过程
首先代码经过编译、链接、签名获得一个“xxx.app”包,app包里面就装着nib文件、资源文件以及可执行文件(Mach-O文件),我们编写的代码其实就放在这个Mach-O文件里面
然后经过zip压缩,将app包转成ipa包,而ipa包就可通过以下几个途径可以装到手机里
- 上传至App Store,自行下载
- 通过Xcode、爱思助手、iFunBox等工具安装
逆向App的思路
主要是以下四个步骤:
1、界面分析,通过Cycript、Reveal等工具窥探UI界面
2、 代码分析,用MachOView、class-dump、Hopper Disassembler、ida等对Mach-O文件静态分析
3、 动态调试、用debugserver、LLDB对运行中的App进行代码调试
4、代码编写,注入代码到App中,必要时还需要重新签名、打包ipa
代码分析工具
接下来介绍几个Mach-O的静态分析工具
class-dump(下载地址)
class-dump的作用就是把Mach-O文件的class信息给导出来(把类信息导出来),生成对应的.h头文件,下载完成需要将其中的class-dump可执行文件复制到Mac上的/usr/local/bin目录中,终端就能识别class-dump命令
在Mac中,终端执行的所有指令都会去/usr/bin目录和/usr/local/bin目录下寻找,但是在Mac OS 10.11之后,usr/bin/目录下是不可写的,因此只能放到/usr/local/bin目录下
class-dump的常用命令如下:
class-dump -H Mach-O文件路径 -o 头文件存放目录
Hopper Disassmbler
Hopper Disassmbler可以将Mach-O文件的机器语言反编译成汇编代码、OC伪代码或者是Swift伪代码
动态库共享缓存(dyld shared cache)
如果想分析一下类似UIKit等系统框架的Mach-O文件,那么如何找到该文件呢?
其实从iOS3.1开始,为了提高性能,绝大部分的系统动态库文件都打包存放到了一个缓存文件中(dyld shared cache),缓存路径为/System/Library/Caches/com.apple.dyld/dyld_shared_cache_armX(X代表ARM处理器指令集的架构),其用处多个App共享一份内存,可以节省内存
ARM指令集有以下几种:
| ARM指令集 | 支持的设备 |
|---|---|
| armv6 | iPhone、iPhone3G iPod Touch、iPod Touch2 |
| armv6 | iPhone3GS、iPhone4、iPhone4S iPad、iPad2、iPad3(The New iPad)、iPad mini iPod、Touch3G、iPod Touch4、iPod Touch5 |
| armv6 | iPhone5、iPhone5C、iPad4 |
| armv6 | iPhone5S、iPhone6、iPhone6 Plus、iPhone6S、iPhone6S Plus iPhoneSE、iPhone7、iPhone7Plus、iPhone8、iPhone8 Plus、iPhoneX iPad5、iPad Air、iPad Air2、iPad Pro、iPad Pro2 iPad mini with Retina display、iPad mini3、iPad mini4 iPod Touch6 |
然而由于动态库共享缓存太大,想要分析单个动态库,就需要从动态库共享缓存中抽取对应的动态库。在Mac/iOS中,是使用了/usr/lib/dyld程序来加载动态库,dyld程序名称为dynamic link editor(动态链接编辑器)或dynamic loader(动态加载器),其源码地址在这里
提取步骤为:
- 找到launch-cache/dsc_extractor.cpp文件
- 去掉前面的#if 0和后面的#endif
- 编译dsc_extractor.cpp文件
clang++ -o dsc_extractor dsc_extractor.cpp
- 使用dsc_extractor抽取
./dsc_extractor 动态库共享缓存文件的路径 用于存放抽取结果的目录
此时动态库就被抽取出来,然后使用Hopper Disassmbler打开动态库,就可以看到动态库中的源码信息了
Mach-O文件
接下来从几个方面介绍Mach-O文件,Mach-O是Mach object的缩写,是Mac\iOS上用来存储程序、库的标准格式
Mach-O文件类型
在xnu源码(点击下载源码)中,可以查看到Mach-O格式的详细定义,具体代码在EXTERNAL_HEADERS/mach-o/loader.h 文件中
常见的Mach-O文件文件类有:
- MH_OBJECT
目标文件(.o):代码编译后的目标文件,如clang -c xxx.c 生成xxx.o目标文件
静态库文件(.a) - MH_EXECUTE
可执行文件:如.app包中的可执行文件 - MH_DYLIB
动态库文件(.dylib):在/usr/lib/目录下就有很多类似文件 - MH_DYLINKER
动态链接编辑器:在设备的/usr/lib/dyld文件 - MH_DSYM
二进制文件符号信息:App在release环境下编译后生成的文件,用来分析App
的崩溃信息
想要查看某个具体的Mach-O文件类型,在终端中输入指令:
# 需要在文件所属目录下
file 文件名
dyld和Mach-O的关系
dyld是iOS中用来加载可执行文件、动态库的工具,其实它本身也是一个Mach-O文件,其类型为MH_DYLINKER,可以用来加载以下三种类型的Mach-O文件
- MH_EXECUTE
- MH_DYLIB
- MH_BUNDLE
以下就是dyld的源码加载文件时的类型校验
Universal Binary(通用二进制文件)
通用二进制文件适用于多种架构,包含了多种不同架构的独立的二进制文件,有如下特点:
- 因为需要存储多种架构的代码,所以通用二进制文件要比单架构二进制文件要大
- 因为两种种架构之间可以共用一些资源,所以两种架构的通用二进制文件大小不会达到单一架构版本的两倍
- 运行过程中只会调用其中的部分代码,所以运行起来不会占用额外的内存
- 通用二进制文件通常也被称为“胖二进制文件(Fat binary)
可以用如下指令来处理多架构Mach-O文件:
#查看架构信息
lipo -info 文件路径
#导出某种类型的架构
lipo 文件路径 -thin 架构类型 -output 输出文件路径
#合并多种架构类型
lipo 文件路径1 文件路径2 -output 输出文件路径
Mach-O的基本结构
一个Mach-O文件包含三个主要区域:
- Header:存放文件类型、目标架构类型等
- Load commands:描述文件在虚拟内存中的逻辑结构和布局,可以理解成Raw segment data的索引目录
- Raw segment data:在Load commands中定义的Segment的原始数据
窥探Mach-O的结构
想要查看Mach-O文件的结构,可以使用otool命令和MachOView工具
- otool
#查看Mach-O文件的header信息
otool -h 文件路径
#查看Mach-O文件的load commands信息
otool -l 文件路径
#更多用法直接输入
otool
- MachOView
一个可以直接查看Mach-O文件结构的GUI工具,点击这里下载