ios逆向筆記之DYLD (分析源碼)

前言

首先我們確定目前我們已知的dyld有兩種方式 1.直接插入動(dòng)態(tài)庫(kù) 2.附加在進(jìn)程

前面我們對(duì)比Tweak前后的machO文件二進(jìn)制沒有被修改 那么Tweak的原理應(yīng)該是附加到進(jìn)程上

蘋果開源了dyld源碼? https://opensource.apple.com/tarballs/dyld/我們下載下來看下他的源碼

源碼解讀

1.

首先大致查看下文目錄 這么多如何看時(shí)看呢 我們前面推測(cè)Tweak是附加在進(jìn)程上的 回顧我們之前脫殼的時(shí)候dumpdecrypted也是附加在進(jìn)程上來脫殼的 那么 DYLD_INSERT_LIBRARIES = xxx.dylib


1)全局搜索DYLD_INSERT_LIBRARIES


因?yàn)槲覀兊哪康木褪菍ふ褼YLD的依附的邏輯 從而達(dá)到應(yīng)用防止依附所以我們首先找一下關(guān)于DYLD_INSERT_LIBRARIES的條件判斷


2)if (sEnv.DYLD_INSERT_LIBRARIES != NULL){

for(const char* const* lib = sEnv.DYLD_INSERT_LIBRARIES;*lib != NULL;++lib)?

loadInsertedDylib(*lib);

}

這個(gè)大致看下含義如果sEnv.DYLD_INSERT_LIBRARIES不為空那么遍歷sEnv.DYLD_INSERT_LIBRARIES這個(gè)環(huán)境變量的所有dylib然后去加載loadInsertedDylib(*lib);這個(gè)函數(shù)這個(gè)函數(shù)我們不可能去在判斷里面直接注釋或置空因?yàn)槲覀冞€有其他的動(dòng)態(tài)庫(kù)需要注入 我們也無法hook操作系統(tǒng)的庫(kù) 所以我們要找到什么情況下不加載


3)我們往上查找代碼 看有沒有地方是可以拒絕插入的函數(shù)


if(!gLinkContext.allowEnvVarsPrint && !gLinkContext.allowEnvVarsPath && !gLinkContext.allowEnvVarsSharedCache){

pruneEnvironmentVariables(envp,&apple);

// set again because envp and apple may have changed or moved

setContext(mainExecutableMH,argc,argv,envp,apple);

}

當(dāng)條件里面的參數(shù)滿足時(shí) 那么就會(huì)移除我們的動(dòng)態(tài)庫(kù)?


4)

現(xiàn)在找到if(issetugid()|| hasRestrictedSegment(mainExecutableMH)){

isRestricted = true;

}

issetugid大概意思是判斷當(dāng)前App的uid或者gid無法更改的我們只能hasRestrictedSegment(mainExecutableMH)看這個(gè)函數(shù)的實(shí)現(xiàn)


5)

我們現(xiàn)在來到了關(guān)鍵函數(shù)這個(gè)函數(shù)大致是在macho遍歷command會(huì)查找有沒有__RESTRICT段的__restrict?

也就是說__RESTRICT段有__restrict? 那么我們這個(gè)動(dòng)態(tài)庫(kù)就不會(huì)插入


6)修改RESTRICT來防護(hù)

在Build settings->Other Linker Flags添加-Wl,sectcreate,__RESTRICT,__restrict,/dev/null?

這樣macho文件就有了__RESTRICT,__restrict?

在Build settings->Other Linker Flags添加-Wl,sectcreate,__RESTRICT,__restrict,/dev/null?

這樣macho文件就有了__RESTRICT,__restrict?

接下來DYLD_INSERT_LIBRARIES再來Twesk的話就沒有效果了這樣就做到了Tweak的防護(hù)



7)破解__RESTRICT,__restrict 的防護(hù)

利用synalyze it !pro來修改RESTRICT段


將對(duì)應(yīng)的二進(jìn)制修改一個(gè)字段 達(dá)到修改RESTRICT段無效 繼續(xù)hook

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

友情鏈接更多精彩內(nèi)容