静态搜索iOS动态链接函数的调用位置
静态搜索iOS动态链接函数的调用位置
可执行文件格式mach-O,是在苹果的操作系统 macOS 和 iOS 上使用的一种二进制文件格式。
在一些iOS安全扫描中,可能存在需要获取函数具体调用位置的需求,能指导用户更精确的定位漏洞。
现在以NSLog函数为例,用静态方式搜索macho中动态链接函数的具体调用位置。
目标
搜索应用macho中调用NSLog函数的具体位置。
思路
整个搜索过程,是一个解析macho文件的过程,把二进制数据解析为合适的数据结构。
用到了macho中多个部分:
String Table
Symbol Table
Dynamic Symbol Table
Section64(TEXT,stubs)
Section64(TEXT,text)
具体步骤
1、先找到Symbol Talbe 和 String Table在macho文件中的位置
在Load Commands中找到LC_SYMTAB,能确定StringTable的offset和size,也能找到Symbol Table的offset和Number:
Symbol Table Offset 是 0x18c478
Number of Symbols 是 0x9a2d
String Table offset 是 0x2273b0
String Table Size 是 0x108d58
因为每条symbol数据长度是16个字节,也就是0x10,
所以 Symbol Table 的 size 是 0x9a2d*0x10 = 0x9A2D0
Symbol Table起始地址是 0x18c478
结束地址是 0x18c478 + 0x9A2D0 = 0x226748
String Table 的起始地址是 0x2273b0
结束地址是 0x2273b0 + 0x108d58 = 0x330108
因为字符串的长度不固定,在String Table中的每条数据的长度不固定,
在读取二进制中的String Table数据时,可以用’\x00’作为字符串的分隔符。
2、遍历String Table,找到_NSLog
可以先读取macho中的String Table数据,用’\x00’作为分隔符,生成字符串数组,
遍历字符串数组,判断每条数据是否等于”_NSLog”。
在 0x23331b 位置找到了 _NSLog,机器码“5F4E534C6F6700”就是”_NSLog\n”字符串。
49003(16进制是 0xBF6B)是当前字符串的索引号,暂定为 strTab_index = 49003。
索引号49003是从String Table的起始地址 0x2273b0 开始计算,第49003个字节,
0x2273b0 + 49003 = 0x23331B,刚好是 _NSLog的起始地址。
3、根据步骤2中的49003(0xBF6B),可以在SymbolTable中搜索对应的符号
在MachOView中能看到地址 0x00224988 对应的就是 _NSLog。
如何通过索引号49003找到匹配的符号表数据呢?
在步骤1中已知:
Symbol Table起始地址是 0x18c478 ,
Symbol Table结束地址是 0x226748。
在这个macho中,单条Symbol Table的数据大小是0x10。
仔Symbol Table中第38993条数据的前四个字节的值是0xBF6B,也就是49003,
与String Table上_NSLog字符串的索引号相同,所以这条数据就对应”_NSLog”:
38993是当前数据在Symbol Table中的索引号,暂定为 symTab_index = 38993,
0x18c478 + 38993 * 0x10 = 0x224988 正好是当前数据的地址。
4、在Dynamic Symbol Table中根据symTab_index查找数据
在Macho中的Load Commands下的 LC_DYSYMTAB 中能确定Indirect Symbols的位置:
起始地址:0x226748,有 794 条数据,每条数据大小是0x4。
遍历Indirect Symbols中的每一条数据,第111条数据中存储的是38993,
所以这条数据对应的就是”_NSLog”,设置 dySymTab_index = 111
0x226748 + 111*0x4 = 0x226904
<a name=”5、在 Section64(TEXT,stubs)节查找NSLog函数” class=”reference-link”>5、在 Section64(TEXT,stubs)节查找NSLog函数
在Mach-O文件中,Section64(TEXT,stubs)节存储的是用于进行间接跳转(indirect jumps)的存根(stubs)。这些存根是为了支持懒加载和符号解析的过程。具体来说,_stubs 节通常包含指向实际目标函数或符号的跳转指令。
在动态链接时,如果一个函数或符号的地址尚未被解析,链接器会在__stubs节中放置一个跳转指令,该指令在运行时会被替换为实际地址。这有助于在程序执行过程中进行动态解析和加载。
在Load Commands 中能找到 Section64(TEXT,stubs)节的信息:
offset 是 0xAE518
size 是 0xEE8
所以 Section64(TEXT,stubs)节的位置
起始地址是 0xAE518
结束地址是 0xAE518 + 0xEE8 = 0xAF400
每条数据长度是 0xC
解析Section64(TEXT,stubs)的二进制数据结构,每条数据大小是0xC,
因为步骤4中已知 dySymTab_index = 111,所以找到第111条数据:
0xAE518 + 111*0xC = 0xAEA4C
地址0xAEA4C 存储的是NSLog符号的跳转指令。
在Section64(TEXT,text)节中,凡是要调用NSLog函数,都会执行arm指令”bl #0xAEA4C”。
<a name=”6、在 Section64(TEXT,text)节查找调用指令”bl #0xAEA4C”” class=”reference-link”>6、在 Section64(TEXT,text)节查找调用指令”bl #0xAEA4C”
在Load Commands 中能找到 Section64(TEXT,stubs)节的信息:
offset 是 0x5C64
size 是 0xA88B4
所以 Section64(TEXT,text)节的信息:
起始地址是 0x5C64
结束地址是 0x5C64 + 0xA88B4 = 0xAE518
查找到部分调用 NSLog 函数的指令:
使用Capstone库把Section64(TEXT,text)中的机器码反编译成arm汇编指令,
可以批量比较每一条指令是否是”bl #0xAEA4C”,就能知道代码中调用NSLog函数的具体位置。
相关文章:
静态搜索iOS动态链接函数的调用位置
静态搜索iOS动态链接函数的调用位置 可执行文件格式mach-O,是在苹果的操作系统 macOS 和 iOS 上使用的一种二进制文件格式。 在一些iOS安全扫描中,可能存在需要获取函数具体调用位置的需求,能指导用户更精确的定位漏洞。 现在以NSLog函数为例ÿ…...
【鸿蒙学习笔记】尺寸设置・layoutWeight・对子组件进行重新布局
官方文档:尺寸设置 目录标题 layoutWeight:对子组件进行重新布局 layoutWeight:对子组件进行重新布局 设置了layoutWeight属性的子元素与兄弟元素占主轴尺寸按照权重进行分配,忽略元素本身尺寸设置。 // 引入包名 import { http…...
vue实现表单输入框数字类型校验功能
vue实现表单输入框数字类型校验功能 1. 样式代码 <el-form-item label"订单总价"><el-input size"small" v-model"form.totalPrice" placeholder"请输入订单总价 正整数或者2位数小数" input"check(form.totalPric…...
JS登录页源码 —— 可一键复制抱走
前期回顾 https://blog.csdn.net/m0_57904695/article/details/139838176?spm1001.2014.3001.5501https://blog.csdn.net/m0_57904695/article/details/139838176?spm1001.2014.3001.5501 登录页预览效果 <!DOCTYPE html> <html lang"en"><head…...
Kithara与OpenCV (一)
Kithara使用 OpenCV 库 目录 Kithara使用 OpenCV 库简介需求和支持的环境构建 OpenCV 库使用 CMake 进行配置以与 Kithara 一起工作 使用 OpenCV 库设置项目运行 OpenCV 代码图像采集和 OpenCV自动并行化限制和局限性1.系统建议2.实时限制3.不支持的功能和缺失的功能4.显示 Ope…...
什么是软件定义安全SDSec
一、软件定义安全SDSec产生的背景 软件定义安全(Software Defined Security,SDSec)的产生背景主要源于传统网络安全防护方法在面对复杂网络环境时的不适应性,以及软件定义网络(SDN)技术的发展和应用。 SD…...
【C语言】C语言可以做什么?
目录 1. 操作系统开发1.1 操作系统内核1.2 设备驱动程序1.3 系统工具和实用程序 2. 嵌入式系统2.1 微控制器编程2.2 传感器和执行器控制2.3 消费电子产品 3. 应用程序开发3.1 图形用户界面应用3.2 游戏开发3.3 多媒体处理 4. 网络编程4.1 网络协议实现4.2 服务器和客户端程序4.…...
WordPress 主题技巧:给文章页增加“谁来过”模块。
模块功能: 我个人目前在做一个电影类的网站,在开发文章页的模版时候,突然觉得给文章页增加一个“谁对本电影感兴趣”的功能模块可能会比较有趣,这个功能有点类似于‘足迹’的感觉,用户可以通过这个功能,发…...
【vue组件库搭建07】Vitest单元测试
vitest官网 vue-test-utils 我们的测试框架选择的是 Vitest 和 vue-test-utils。两者的关系为: Vitest 提供测试方法:断言、Mock 、SpyOn 等方法。vue-test-utils: 挂载和渲染组件: Vue Test Utils 允许您在隔离中挂载组件,这意…...
JSONObject和Map<String, Object>的转换
一、前言 Java开发中出参返回和入参传入更灵活的方法是使用Map<String, Object>入参或出参,或者使用JSONObject。 1、好处,参数可变,对接口扩展性很友好。 public ResponseData<WXModelDTO> getUserInfo(RequestBody Map<…...
C# 建造者模式(Builder Pattern)
建造者模式(Builder Pattern),也被称为生成器模式,是一种对象构建模式,旨在将复杂对象的构建过程与表示分离,使得同样的构建过程可以创建不同的表示。这种模式特别适用于构建具有多个组成部分的复杂对象&am…...
初阶数据结构速成
本篇文章算是对初阶数据结构的总结,内容较多,请耐心观看 基础概念部分 顺序表 线性表( linear list )是n个具有相同特性的数据元素的有限序列。 线性表是⼀种在实际中⼴泛使 ⽤的数据结构,常⻅的线性表:…...
nx上darknet的使用-目标检测-在python中的使用
1 内置的代码 在darknet中已经内置了两个py文件 darknet_video.py与darknet_images.py用法类似,都是改一改给的参数就行了,我们说一下几个关键的参数 input 要预测哪张图像weights 要使用哪个权重config_file 要使用哪个cfg文件data_file 要使用哪个da…...
Python高级(四)_内存管理
Python高级-内存管理 第四章 内存管理 1、对象池 小整数池 系统默认创建好的,等着你使用 概述:整数在程序中的使用非常广泛,Python为了优化速度,使用了小整数对象池,避免为整数频繁申请和销毁内存空间。Python 对小整数的定义是 [-5, 256] ,这些整数对象是提前建立好的…...
关键路径-matlab
路径上边的数目称为路径长度 图的基本知识 求最短路径(Dijkstra算法) 2. 待继续尝试 ①Dijkstra ②floyd_all.m 一 二 ③ LeetCode [329. 矩阵中的最长递增路径]...
JavaDS —— 单链表 与 LinkedList
顺序表和链表区别 ArrayList : 底层使用连续的空间,可以随机访问某下标的元素,时间复杂度为O(1) 但是在插入和删除操作的时候,需要将该位置的后序元素整体往前或者向后移动,时间复杂度为O&…...
LangChain —— Message —— how to filter messages
文章目录 一、概述二、基本使用三、连成链 一、概述 在更复杂的链和代理中,我们可能会使用消息列表跟踪状态。此列表可以开始累积来自多个不同模型、说话者、子链等的消息,我们可能只想将此完整消息列表的子集传递给链/代理中的每个模型调用。 filter_me…...
conda install问题记录
最近想用代码处理sar数据,解放双手。 看重了isce这个处理平台,在安装包的时候遇到了一些问题。 这一步持续了非常久,然后我就果断ctrlc了 后面再次进行尝试,出现一大串报错,不知道是不是依赖项的问题 后面看到说mam…...
【python】IPython的使用技巧
IPython使用技巧 一、魔法命令 %timeit 用途:用于测量一段代码的执行时间,这对于评估代码的性能非常有帮助,尤其适用于需要进行性能优化和比较不同实现方式效率的场景。示例:%timeit [x**2 for x in range(1000)]扩展…...
常用知识点问答
kafka如何部署? 先说明kafka的版本如果是 2.X 版本,则要先部署 3或5 个服务器的zookeeper集群,然后在每个zookeeper服务器上部署kafka应用。如果是 3.X 版本,kafka不再依赖zookeeper,所以可以直接在java17的环境上部署…...
国防科技大学计算机基础课程笔记02信息编码
1.机内码和国标码 国标码就是我们非常熟悉的这个GB2312,但是因为都是16进制,因此这个了16进制的数据既可以翻译成为这个机器码,也可以翻译成为这个国标码,所以这个时候很容易会出现这个歧义的情况; 因此,我们的这个国…...
OpenLayers 可视化之热力图
注:当前使用的是 ol 5.3.0 版本,天地图使用的key请到天地图官网申请,并替换为自己的key 热力图(Heatmap)又叫热点图,是一种通过特殊高亮显示事物密度分布、变化趋势的数据可视化技术。采用颜色的深浅来显示…...
Linux 文件类型,目录与路径,文件与目录管理
文件类型 后面的字符表示文件类型标志 普通文件:-(纯文本文件,二进制文件,数据格式文件) 如文本文件、图片、程序文件等。 目录文件:d(directory) 用来存放其他文件或子目录。 设备…...
Xshell远程连接Kali(默认 | 私钥)Note版
前言:xshell远程连接,私钥连接和常规默认连接 任务一 开启ssh服务 service ssh status //查看ssh服务状态 service ssh start //开启ssh服务 update-rc.d ssh enable //开启自启动ssh服务 任务二 修改配置文件 vi /etc/ssh/ssh_config //第一…...
k8s从入门到放弃之Ingress七层负载
k8s从入门到放弃之Ingress七层负载 在Kubernetes(简称K8s)中,Ingress是一个API对象,它允许你定义如何从集群外部访问集群内部的服务。Ingress可以提供负载均衡、SSL终结和基于名称的虚拟主机等功能。通过Ingress,你可…...
.Net框架,除了EF还有很多很多......
文章目录 1. 引言2. Dapper2.1 概述与设计原理2.2 核心功能与代码示例基本查询多映射查询存储过程调用 2.3 性能优化原理2.4 适用场景 3. NHibernate3.1 概述与架构设计3.2 映射配置示例Fluent映射XML映射 3.3 查询示例HQL查询Criteria APILINQ提供程序 3.4 高级特性3.5 适用场…...
云启出海,智联未来|阿里云网络「企业出海」系列客户沙龙上海站圆满落地
借阿里云中企出海大会的东风,以**「云启出海,智联未来|打造安全可靠的出海云网络引擎」为主题的阿里云企业出海客户沙龙云网络&安全专场于5.28日下午在上海顺利举办,现场吸引了来自携程、小红书、米哈游、哔哩哔哩、波克城市、…...
Java-41 深入浅出 Spring - 声明式事务的支持 事务配置 XML模式 XML+注解模式
点一下关注吧!!!非常感谢!!持续更新!!! 🚀 AI篇持续更新中!(长期更新) 目前2025年06月05日更新到: AI炼丹日志-28 - Aud…...
2025盘古石杯决赛【手机取证】
前言 第三届盘古石杯国际电子数据取证大赛决赛 最后一题没有解出来,实在找不到,希望有大佬教一下我。 还有就会议时间,我感觉不是图片时间,因为在电脑看到是其他时间用老会议系统开的会。 手机取证 1、分析鸿蒙手机检材&#x…...
【Java_EE】Spring MVC
目录 Spring Web MVC 编辑注解 RestController RequestMapping RequestParam RequestParam RequestBody PathVariable RequestPart 参数传递 注意事项 编辑参数重命名 RequestParam 编辑编辑传递集合 RequestParam 传递JSON数据 编辑RequestBody …...
