mach-o 檔案分析（解析類）

weixin_34247155發表於2018-05-13

Mac

mach-o檔案是macOS/iOS上面可執行檔案、物件程式碼、共享庫、動態載入程式碼和記憶體轉儲的檔案格式記錄的一種格式，就像linux上面的elf檔案。

實現的程式碼：class-dump-unix-like

0x00 方便快速分析的一些輔助工具

010 Editor (方便看二進位制檔案)
IDA pro

0x01 檔案頭

在macOS/iOS上面有兩種型別的目標檔案：一種直接是mach-o檔案，另一種是fat檔案(fat檔案包含了多種架構，可以方便支援不同cpu架構的裝置)

fat檔案頭

Magic
arch size
Arch
...
Mach-o

fat檔案大致如下，最開始是一個magic，然後後面跟的是fat檔案中支援不同cpu架構的個數

fat檔案頭的結構體如下:

struct fat_header {
    uint32_t magic;
    uint32_t nfat_arch;
};

然後後面緊跟著的是arch，其結構體如下:

struct fat_arch {
    uint32_t cputype;
    uint32_t cpusubtype;
    uint32_t offset;
    uint32_t size;
    uint32_t align;
};

其中前兩個是代表的的是cpu的型別，第三個引數offset代表的是這個CPU架構在fat檔案裡面的mach-o頭的偏移，第四個引數size這個架構的cpu的mach-o檔案的大小。

fat_header

mach-o檔案頭(32位)的結構體如下：

struct mach_header {
    uint32_t magic;         /* mach magic number identifier */
    uint32_t cputype;       /* cpu specifier */
    uint32_t cpusubtype;    /* machine specifier */
    uint32_t filetype;      /* type of file */
    uint32_t ncmds;         /* number of load commands */
    uint32_t sizeofcmds;    /* the size of all the load commands */
    uint32_t flags;         /* flags */
};

其中ncmds是load command的個數。

mach_header

0x02 load_command

在mach-o頭後面緊跟著的就是load command，其基本結構體如下：

struct load_command {
    uint32_t cmd; //cmd型別
    uint32_t cmdsize; //大小
};

load command有很多種型別，解析類需要的是SEGMENT這種型別的load command，其結構如下(32位)：

struct segment_command {
    uint32_t cmd;
    uint32_t cmdsize;
    char segname[16]; //名字
    uint32_t vmaddr;
    uint32_t vmsize;
    uint32_t fileoff;
    uint32_t filesize;
    uint32_t maxprot;
    uint32_t initprot;
    uint32_t nsects; //section的個數
    uint32_t flags;
};

其中segname是segment load command的名字，nsects是他裡面section的個數。

load_command

0x03 section

section是上面segment load command裡面的，其結構體如下：

struct section {
    char sectname[16]; //section的名字
    char segname[16]; //所在segment的名字
    uint32_t addr; //相對於檔案的偏移(如果是fat檔案就是相對fat開始的偏移)
    uint32_t size;//section的大小
    uint32_t offset; //相對於mach-o頭的偏移
    uint32_t align;
    uint32_t reloff;
    uint32_t nreloc;
    uint32_t flags;
    uint32_t reserved1;
    uint32_t reserved2;
}

其中sectname是section的名字，addr是相對於檔案開始的偏移，offset是相對於mach-o檔案開始的偏移，也就是如果就是單個cpu平臺的mach-o檔案，那麼offset = addr。

section

0x04 objc_class

在__DATA這個segment的__objc_classlist這個section裡面，儲存了所有類的地址，以下面這個檔案為例分析：

classlist

這裡__objc_classlist這個段的偏移位0xa3e6e8。我們在010 Editor裡面按command + l跳轉到這個地址，內容如下:

class list

每四位都是一個objc_class的地址，以第一為例，第一個objc_class的地址為0x00b416b4。

Objc_class的結構體為：

struct objc_class{
    uint32_t isa;
    uint32_t wuperclass;
    uint32_t cache;
    uint32_t vtable;
    uint32_t data;
    uint32_t reserved1;
    uint32_t reserved2;
    uint32_t reserved3;
};

其中isa為meta class的地址，data為objc_classdata的地址，在oc裡面meta class裡面的方法就相當於java裡面static的方法，不需要例項化物件就能呼叫。

我們在ida裡面跳轉到0x00b416b4，這裡面存的就是objc_class

objcclass

0x05 objc_classdata

我們在上面的objc_class那裡點選結構體的第五個元素，也就是classdata，
會自動跳轉到這個類的objc_classdata處，其結構體如下：

struct objc_classdata{
    uint32_t flags;
    uint32_t instanceStart;
    uint32_t instanceSize;
    uint32_t ivarlayout;
    uint32_t name;
    uint32_t baseMethod;    //方法
    uint32_t baseProtocol;  //介面
    uint32_t ivars;         //成員變數
    uint32_t weakIvarLayout;
    uint32_t baseProperties;//properties
};

其中name為類的名字，baseMethod為objc_method的偏移，ivars為objc_ivar的偏移，baseProperties為objc_properties的偏移。

classdata

0x06 objc_ivar

在ida裡面點選objc_classdata結構體裡面的第8個引數，就會跳轉到objc_ivar列表的地方。其中前面四個位元組為ivar的flag，然後後面四個位元組代表ivar的個數。緊接著後面就是ivar了，ivar的結構體為：

struct objc_ivar{
    uint32_t offset;
    uint32_t name;
    uint32_t type;
    uint32_t alignment;
    uint32_t size;
};

其中name為名字，type成員變數型別。

ivar

0x07 objc_method

在ida裡面點選objc_classdata結構體裡面的第6個引數，就會跳轉到objc_method列表的地方。其中前面四個位元組為method的flag，然後後面四個位元組代表method的個數。緊接著後面就是method了，method的結構體為：

struct objc_method{
    uint32_t name; // 方法的名字
    uint32_t types;
    uint32_t _implementation;
}

其實name為名字

method

0x08 objc_properties

在ida裡面點選objc_classdata結構體裡面的第10個引數，就會跳轉到objc_properties列表的地方。其中前面四個位元組為properties的flag，然後後面四個位元組代表properties的個數。緊接著後面就是properties了，properties的結構體為：

struct objc_properties{
    uint32_t name;
    uint32_t attributes;
}

其中name為名字

properties

解析Mach-o檔案
2016-10-11
Mac
分析Mach-O檔案
2018-07-21
Mac
iOS系統分析（二）Mach-O二進位制檔案解析
2016-11-16
iOSMac
趣探 Mach-O：檔案格式分析
2016-09-05
Mac
iOS 逆向 - Mach-O檔案
2019-10-30
iOSMac
探祕 Mach-O 檔案
2018-03-23
Mac
Mach-O檔案周邊二三事
2020-03-31
Mac
Mach-O 可執行檔案
2018-02-27
Mac
【JVM】深入解析class類檔案
2021-09-09
JVM
一個CSV檔案解析類
2013-12-12
DEX檔案解析--7、類及其類資料解析(完結篇)
2020-07-16
趣探 Mach-O：FishHook 解析
2017-02-13
MacHook
深入解析Class類檔案的結構
2019-03-24
基於 DOM 的 XML 檔案解析類
2020-09-30
XML
Oracle引數檔案解析——引數檔案分析獲取
2011-06-03
Oracle
趣探 Mach-O：符號解析
2016-09-16
Mac符號
通過 Mach-O 檔案動態分析進行 iOS load 方法耗時檢測
2019-03-04
MaciOS
objc系列譯文（6.3）：Mach-O 可執行檔案
2013-11-21
OBJMac
Java虛擬機器，類檔案結構深度解析
2019-05-14
Java虛擬機
JVM虛擬機器Class類檔案研究分析
2021-02-01
JVM虛擬機
eml檔案解析
2020-12-18
Class檔案解析
2022-11-29
Java —— 檔案類（File 類）
2018-10-23
Java
檔案助手類
2013-09-23
類檔案結構_class類檔案的的結構
2018-04-11
jdom解析xml檔案
2020-11-09
XML
java class檔案解析
2020-10-01
Java
BVH檔案格式解析
2018-04-20
Nginx配置檔案解析
2016-04-06
Nginx
GData解析XML檔案
2014-02-17
XML
redis配置檔案解析
2014-04-30
Redis
jquery 解析xml檔案
2012-07-10
jQueryXML
oracle trace檔案解析
2006-03-26
Oracle
ISO檔案解析(轉)
2007-08-09
XML 檔案解析實踐 (DOM 解析)
2020-10-02
XML
五種 Mach-O 型別的淺要分析
2019-03-04
Mac型別
Mach-O
2019-10-02
Mac
dedecms主要類檔案
2019-05-11