一、Mach-O 相关概念简介
1.概念描述
Mach-O 为 Mach Object 文件格式的缩写,它是一种用于可执行文件、目标代码、动态库、内核转储的文件格式。作为 a.out 格式的替代,Mach-O 提供了更强的扩展性,并提升了 符号表 中信息的访问速度。
通用二进制
通用二进制代码有两种基本类型:
- 一种类型就是简单提供两种独立的二进制代码,一个用来对应x86架构,一个用来对应PowerPC架构。
- 另外一种类型就是只编写一个架构的代码,当另外一种处理环境时让系统自动调用模拟器运行,这会导致运行速度下降。
多重架构二进制(胖二进制)
在 NeXTSTEP ,OPENSTEP 和 Mac OS X 中,可以将多个Mach-O文件组合进一个多重架构二进制(胖二进制)文件中,以用一个单独的二进制文件支持多种架构的指令集。例如,一个Mac OS X中的多重架构二进制可以包含32位和64位的PowerPC代码,或PowerPC和x86的32位代码,甚至包含32位的PowerPC代码,64位PowerPC代码,32位x86代码和64位x86代码。
2.对 Mach-O 文件进行操作
-
使用
file Mach-O命令查看 Mach-O 文件类型
从上图可以看出该可执行文件是一个通用二进制文件,且包含2种架构:arm_v7 和 arm64。查看文件架构.png -
使用
lifo -info <Mach-O>命令查看文件架构
文件架构.png 使用
lipo命令拆分某种架构
lipo <Mach-O> -thin <架构名> -output <输出文件路径>
- 使用
lipo命令合并多种架构
lipo -create <Mach-O1> <Mach-O2> -output <输出文件路径>
二、查看可执行文件
1.使用 otool 命令查看 Mach-O 文件
- 查看可执行文件的动态链接库
otool -L WeChat
- 查看头信息
otool -h WeChat
- 查看是否加密
otool -l WeChat | grep crypt
查看是否加密.png
cryptid 为 0 时表示无加密,即已砸壳;
cryptid 为 1 时表示有加密,即未砸壳。
- 查看头信息
otool -h DingTalk
2.使用 MachOView 软件查看
用 MachOView 打开可执行文件可以看到有胖二进制文件的结构如下图:
胖二进制.png
可以看到可执行文件包括三个部分:
- Fat Header:包含架构数量及不同架构指令集的简单信息
- Executable(ARM_V7):arm_v7 架构对应的指令集
- Executable(ARM64_ALL):arm64 架构对应的指令集
三、Mach-O 文件结构
Mach-O.png
Mach-O主要分为三个部分:Header、Load commands和Data。
- Header:包含字节顺序、架构类型、加载指令的数量等,使得系统可以快速确认一些信息,比如当前文件用于32位还是64位,对应的处理器是什么、文件类型是什么。
- Load commands:它是一张包含很多内容的表,内容包括区域的位置、符号表、动态符号表等。每个加载指令都包含一个元信息,比如指令类型、名称、在二进制文件中的位置等等。
- Data:通常是对象文件中最大的部分。主要包含代码、数据,例如符号表,动态符号表等等。Data 中包含若干个 segment (段),每个 segment 下又有若干个 section(节)。
1. Header
头文件就是该可执行文件的信息概要
头部.png
该部分结构可以 打开 <macho-o/loader.h> 查看
/*
* 64位结构头
*/
struct mach_header_64 {
uint32_t magic; // Mach-O 文件的
cpu_type_t cputype; // CPU 架构
cpu_subtype_t cpusubtype; // CPU 架构子版本
uint32_t filetype; // 文件类型。常见的有 MH_OBJECT(目标文件)、MH_EXECUTE(可执行文件)、MH_DYLIB(动态库)、MH_DYLINKER(动态链接器)
uint32_t ncmds; // 加载指令数量
uint32_t sizeofcmds; // 加载指令大小
uint32_t flags; // dyld 加载需要的一些标记
uint32_t reserved; // 64 位的保留字段
};
2. Load commands
Load commands 作用是让系统知道如何加载文件中的信息,对系统内核加载器和动态链接器起引导作用。
部分加载指令.png
从上图可以看到,Load command 包含以下部分:
- LC_SEGMENT_64:定义一个段,加载后被映射到内存中,包括里面的节。相当与一个数据索引,指明了不同类型数据的地址和大小
- LC_DYLD_INFO_ONLY:记录了有关链接的重要信息,包括 __LINKEDIT 中动态链接相关信息的具体偏移和大小
- LC_SYMTAB:为文件定义符号表和字符串表,在链接文件时被连接器使用,同时也用于调试器映射符号到源文件。
- LC_DYSYMTAB:将符号表中给出符号的额外符号信息提供给动态链接器
- LC_LOAD_DYLINKER:默认的加载器路径
- LC_UUID:用于标识 Mach-O 文件的 ID,也用于奔溃堆栈和符号文件的对应解析
- LC_VERSION_MIN_IPHONEOS:系统要求的最低版本
- LC_SOURCE_VERSION:构建二进制文件的源代码版本号
- LC_MAIN:程序的入口。dyld 获取改地址,然后跳转到该处执行
- LC_ENCRYPTION_INFO_64:文件是否加密标志,加密内容的偏移和大小
- LC_LOAD_DYLIB:依赖的动态库
- LC_RPATH:Runpath Search Paths, @rpatch 搜索的路径
- LC_FUNCTION_STARTS:函数起始地址表,使用调试器和其他程序能很容易看到一个地址是否在函数内
- LC_DATA_IN_CODE:定义在代码段内的非指令的表
- LC_CODE_SIGNATURE:代码签名信息
3. Data
LC_SEGMENT_64 加载指令映射的就是 Data 中的数据偏移和大小,该文件组要包含四个段:
- __PAGEZERO:空指针陷阱段,映射到虚拟内容控件的第一页,用于捕捉对 NULL 指针的引用
- __TEXT:代码段/只读数据段
- __DATA:读取和写入数据的段
- __LINKEDIT:动态链接器需要使用的信息,包括重定位信息、绑定信息、懒加载信息等
下面是 64 位 segment 段的数据结构
struct segment_command_64 { /* for 64-bit architectures */
uint32_t cmd; // 指令类型
uint32_t cmdsize; // 指令大小
char segname[16];// 段的名字
uint64_t vmaddr; // 映射到虚拟地址的偏移
uint64_t vmsize; // 映射到虚拟地址的大小
uint64_t fileoff; // 对应当前架构文件的偏移
uint64_t filesize; // 文件的大小
vm_prot_t maxprot; // 段页面的最高内存保护
vm_prot_t initprot; // 初始内存保护
uint32_t nsects; // 包含的节的个数
uint32_t flags; // 段页面的标志
};
段中包含的节的数据结构
struct section_64 { /* for 64-bit architectures */
char sectname[16]; // 节的名字
char segname[16]; // 所属段的名字
uint64_t addr; // 映射到虚拟地址的偏移
uint64_t size; // 节的大小
uint32_t offset; // 节在当前架构文件中的偏移
uint32_t align; // 节的字节对齐大小
uint32_t reloff; // 重定位入口的文件偏移
uint32_t nreloc; // 重定位入口的个性
uint32_t flags; // 节的类型和属性
uint32_t reserved1; // 保留位
uint32_t reserved2; // 保留位
uint32_t reserved3; // 保留位
};
__Text 段中包含的节
- __text:程序可执行的代码区域
- __stubs:间接符号存根,跳转到懒加载指针表
- __stub_helper:帮助解决懒加载符号加载的辅助函数
- __objc_methname:方法名
- __objc_classname:类名
- __objc_methtype:方法签名
- cstring:只读的 C 风格字符串,包含 OC 的部分字符串和属性名
__Data 段中包含的节
- __nl_symbol_ptr:非懒加载指针表,在 dylib 加载时立即绑定值
- __la_symbol_ptr:懒加载指针表,第一次调用是才会绑定值
- __got:非懒加载全局指针表
- __mod_init_func:constructor 函数
- __mod_term_func:destructor 函数
- __cfstring:OC 字符串
- __objc_classlist:程序中类的列表
- __objc_nlclslist:程序中自己实现了+load 方法的类
- __objc_protolist:协议列表
- __objc_classrefs:被引用的类列表
