前言
首先我們確定目前我們已知的dyld有兩種方式 1.直接插入動(dòng)態(tài)庫(kù) 2.附加在進(jìn)程
前面我們對(duì)比Tweak前后的machO文件二進(jìn)制沒有被修改 那么Tweak的原理應(yīng)該是附加到進(jìn)程上
蘋果開源了dyld源碼? https://opensource.apple.com/tarballs/dyld/我們下載下來看下他的源碼
源碼解讀
1.
首先大致查看下文目錄 這么多如何看時(shí)看呢 我們前面推測(cè)Tweak是附加在進(jìn)程上的 回顧我們之前脫殼的時(shí)候dumpdecrypted也是附加在進(jìn)程上來脫殼的 那么 DYLD_INSERT_LIBRARIES = xxx.dylib
1)全局搜索DYLD_INSERT_LIBRARIES
因?yàn)槲覀兊哪康木褪菍ふ褼YLD的依附的邏輯 從而達(dá)到應(yīng)用防止依附所以我們首先找一下關(guān)于DYLD_INSERT_LIBRARIES的條件判斷
2)if (sEnv.DYLD_INSERT_LIBRARIES != NULL){
for(const char* const* lib = sEnv.DYLD_INSERT_LIBRARIES;*lib != NULL;++lib)?
loadInsertedDylib(*lib);
}
這個(gè)大致看下含義如果sEnv.DYLD_INSERT_LIBRARIES不為空那么遍歷sEnv.DYLD_INSERT_LIBRARIES這個(gè)環(huán)境變量的所有dylib然后去加載loadInsertedDylib(*lib);這個(gè)函數(shù)這個(gè)函數(shù)我們不可能去在判斷里面直接注釋或置空因?yàn)槲覀冞€有其他的動(dòng)態(tài)庫(kù)需要注入 我們也無法hook操作系統(tǒng)的庫(kù) 所以我們要找到什么情況下不加載
3)我們往上查找代碼 看有沒有地方是可以拒絕插入的函數(shù)
if(!gLinkContext.allowEnvVarsPrint && !gLinkContext.allowEnvVarsPath && !gLinkContext.allowEnvVarsSharedCache){
pruneEnvironmentVariables(envp,&apple);
// set again because envp and apple may have changed or moved
setContext(mainExecutableMH,argc,argv,envp,apple);
}
當(dāng)條件里面的參數(shù)滿足時(shí) 那么就會(huì)移除我們的動(dòng)態(tài)庫(kù)?
4)
現(xiàn)在找到if(issetugid()|| hasRestrictedSegment(mainExecutableMH)){
isRestricted = true;
}
issetugid大概意思是判斷當(dāng)前App的uid或者gid無法更改的我們只能hasRestrictedSegment(mainExecutableMH)看這個(gè)函數(shù)的實(shí)現(xiàn)
5)
我們現(xiàn)在來到了關(guān)鍵函數(shù)這個(gè)函數(shù)大致是在macho遍歷command會(huì)查找有沒有__RESTRICT段的__restrict?
也就是說__RESTRICT段有__restrict? 那么我們這個(gè)動(dòng)態(tài)庫(kù)就不會(huì)插入
6)修改RESTRICT來防護(hù)
在Build settings->Other Linker Flags添加-Wl,sectcreate,__RESTRICT,__restrict,/dev/null?
這樣macho文件就有了__RESTRICT,__restrict?
在Build settings->Other Linker Flags添加-Wl,sectcreate,__RESTRICT,__restrict,/dev/null?
這樣macho文件就有了__RESTRICT,__restrict?
接下來DYLD_INSERT_LIBRARIES再來Twesk的話就沒有效果了這樣就做到了Tweak的防護(hù)
7)破解__RESTRICT,__restrict 的防護(hù)
利用synalyze it !pro來修改RESTRICT段
將對(duì)應(yīng)的二進(jìn)制修改一個(gè)字段 達(dá)到修改RESTRICT段無效 繼續(xù)hook
