IOS逆向（3）Mach-O

原创已于 2022-01-19 11:35:21 修改

· 1.9k 阅读

0 ·

版权

文章标签：

#ios

于 2022-01-19 09:48:35 首次发布

IOS逆向专栏收录该内容

9 篇文章

订阅专栏

Mach-O

Mach-O是Mach object的缩写，是Mac/IOS上的存储格式、库的标准格式。

常见的Mach-O文件类型

MH-OBJECT

目标文件（.O）
静态库文件（.a），静态库其实就是N个.O合并在一起

MH-EXECUTE：动态库文件；
MH-DYLIB：动态库文件

dylib : 动态库文件，用于加载以下几种类型文件：MH_DYLIB、MH_BUNDLE、MH_EXECUTE；
APP的可执行文件、动态库都是由dyid负责加载的；
framework/xx

MH_DYLINKER：动态链接编辑器

/usr/lib/dyid

MH_DSYM ：存储着二进制文件符号信息的文件
.DSYM/Contents/Resources/DWARF/xx（常用于分析app的奔溃信息）

Universal Binary（通用二进制文件）

通用二进制文件
同时使用于各种架构的二进制文件
包含了多种不同架构的独立的二进制文件

窥探Mach-O的结构

命令行工具

file：查看Mach-O的文件类型。 file 文件路径
otool：查看Mach-O特定部分和段的内容

lipo：常用于多架构Mach-O文件的处理、

查看架构信息：lipo -info 文件路径
导出某种特定架构：lipo 文件路径 -thin 架构类型 -output 输出文件路径
合并多种架构：lipo 文件路径1 文件路径2 -output 输出文件路径

GUI工具

MachOView : https://github.com/gdbinit/MachOView

Mach-O的基本结构

一个Mach-O文件包含3个主要区域

Header：文件类型、目标架构类型等；
Load commands：描述文件在虚拟内存中的逻辑结构、布局；
Raw segment data：在Load commands中定义的Segment的原始数据；

在后续的逆向中，了解Mach-O文件的架构是至关重要的。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

像海岛的风

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

iOS安全和逆向系列教程第6篇深入理解Mach-O文件格式

一个自学不成材的程序员

03-02

691

Mach-O（Mach Object）文件格式是macOS和iOS操作系统上的可执行文件、目标代码和共享库的文件格式。作为静态分析的基础，理解Mach-O文件结构对逆向工程师来说至关重要。Mach-O文件格式是iOS应用静态分析的基础。获取应用基本信息和架构分析加载命令和内存布局发现代码段和数据段的组织方式了解应用依赖和符号表掌握Mach-O文件格式是iOS逆向工程路上的重要一步，它为我们提供了静态分析的基础，并为后续的动态分析做好准备。

iOS 逆向编程（十九）Mach-O 入门了解（如何通过 Mach-O 逆向 APP 思路）(1)

2401_84092903的博客

05-12

497

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。深知大多数初中级Android工程师，想要提升技能，往往是自己摸索成长，自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Android开发知识点！

参与评论您还未登录，请先登录后发表或查看评论

iOS逆向之Mach-O文件（上）

iOS-大鑫

05-22

478

本文主要介绍Mach-O文件格式以及通用二进制文件 Mach-O文件概述 Mach-O其实是Mach Object文件格式的缩写，是mac以及iOS上可执行文件的格式，类似于windows上的PE格式 (Portable Executable ), linux上的elf格式 (Executable and Linking Format) Mach-O是一种用于可执行文件、目标代码、动态库的文件格式。作为a.out格式的替代，Mach-O提供了更强的扩展性。 Mach-O文件格式常见的Mac

iOS 系列译文：Mach-O 可执行文件

tozheng的专栏

11-21

1082

iOS 系列译文：Mach-O 可执行文件当我们在Xcode中构建一个程序的时候，其中有一部分就是把源文件（.m和.h）文件转变成可执行文件。这个可执行文件包含了将会在CPU（iOS设备上的arm处理器或者你mac上的Intel处理器）运行的字节码。我们将会过一遍编译器这个过程的做了些什么，同时也看一下可执行文件的内部到底是怎样的。其实，里面的东西比你看到的要多很多。让

iOS 逆向编程（十九）Mach-O 入门了解（如何通过 Mach-O 逆向 APP 思路）

卡尔特斯

12-25

995

一、Mach-O 简介 Mach-O 是一种文件格式，是 Mac 上可执行文件的格式，类似于 Windows 上的 PE 格式 (Portable Executable ), Linux 上的 elf 格式 (Executable and Linking Format)。我们编写的 C、C++、Swift、OC 最终编译链接生成 Mach-O 可执行文件，更详细的介绍自行百度。通常，在我们开发完成之后，就会打包发布，在我们打出的包里面有这样一个应用程序包，ipa 包解压之后里面也会有这样一个文

iOS的Mach-O文件

liuyinghui523的专栏

11-14

793

APP的使用过程源码-编译、链接、签名生成app文件-zip压缩生成IPA文件-上传到App Store-下载到手机。源码-编译、链接、签名生成app文件-zip压缩生成IPA文件-通过PP助手、iFunBox、Xcode等工具安装到手机。逆向APP的思路界面分析 Cycript、Reveal 代码分析对Mach-O文件的静态分析，MachOView、class-dump、...

iOS Mach-O文件

叶阳的博客

10-23

988

Mach-O文件格式介绍

iOS逆向之Mach-O文件（下）

iOS-大鑫

05-24

507

本文主要介绍Mach-O文件的内部结构的演示 Mach-O内部结构因为MachO文件本身是一种文件格式，所以我们一定需要了解其文件内部结构。 Mach-O 的组成结构主要分为三部分 Header 包含该二进制文件的一般信息字节顺序、架构类型、加载指令的数量等。使得可以快速确认一些信息，比如当前文件用于32位还是64位，对应的处理器是什么、文件类型是什么 Load commands（加载命令）一张包含很多内容的表内容包括区域的位置、符号表、动态符号表等。 Data(数据) 通常

iOS开发：Mach-O入门理解

chenzimin_blog

06-27

2368

Mach-O：是的缩写，是Mac\iOS上用于存储程序、库的标准格式。属于Mach-O格式的文件类型有：可以在源码中，可以查看到Mach-O格式的详细定义（https://opensource.apple.com/tarballs/xnu/）1、MH_OBJECT2、MH_EXECUTE：可执行文件3、MH_DYLIB：动态库文件4、MH_DYLINKER：动态链接编辑器5、MH_DSYM：存储着二进制文件符号信息的文件.o文件编译生成的流程：官方描述 https://developer.apple.c

[iOS]分析Mach-O文件

Gamin

11-18

3059

Mach-O为Mach Object文件格式的缩写，它是一种用于可执行文件，目标代码，动态库，内核转储的文件格式。每个Mach-O文件包括一个Mach-O头，然后是一系列的载入命令，再是一个或多个块，每个块包括0到255个段。

iOS-MachO文件介绍

最新发布

gcs的博客

02-02

429

本篇文章主要分析MachO文件(也称作二进制可执行文件)，相信大家在平时开发中都会碰到MachO文件这个概念，但是大部分人不清楚是个什么东西，本篇文章就和大家一起来具体分析它的由来以及它的内部结构。

逆向基础之 - Mach-O

u013712343的博客

05-18

565

Mach-O（Mach Object）是一种可执行文件格式

iOS进阶 - Mach-O文件解析

KevenLin的博客

06-18

1289

Segment load command 分为32位和64位，32位和64位的 Segment load command 基本类似，只不过在64位的结构中，把和寻址相关的数据类型，由32位的 uint32_t 改为了64位的 uint64_t 类型。在这么多的 load command 中，需要我们重点关注的是 segment load command。是一个特殊的 Segment，这个 Segment 其实是苹果虚拟出来的，只是一个逻辑上的段，而在Data中，根本没有对应的内容，也没有占用任何硬盘空间。

iOS逆向与安全 - 5. Mach-O文件格式

NULLGIRL

03-23

1891

前言 Mach-O文件格式源码 Mach-O苹果官方手册想要程序跑起来，那么这个可执行文件的格式就需要被当前的操作系统所理解，比如： Linux 操作系统下可执行文件格式是 ELF Windows 的可执行文件格式是 PE32/PE32+ Android 的可执行文件格式是 ELF OSX 和 iOS 的可执行文件格式是 Mach-O 准备工具 ...

iOS启动优化之Mach-O相关术语

wo190096的博客

09-15

386

iOS 代码瘦身（一）:静态扫描无用的类

a2025131311的博客

01-16

1029

为什么要优化安装包的体积下载时耗费多余的流量，占用更大的手机内存空间超过一定限制会被禁止安装 4G网络不支持下载超过200MB的APP !（最初Apple要求的是150M）静态扫描的原理在iOS编译的产物 Mach-o文件中 __DATA __objc_classrefs 段记录了引用类的地址，__DATA __objc_classlist段记录了所有类的地址，取差集可以得到未使用的类的地址，然后进行符号化，就可以得到未被引用的类信息。 (PS:静态类获取的类会有误差，需要人工确认才可删除！)

Objective-C Mach-O文件格式深入理解

weixin_30384217的博客

12-02

172

Mach-O（Mach Object），是一种基于Mach内核的文件格式，苹果很多文件都采用这种格式，最常见的就是可执行文件和动态库。当然，还有.o的目标文件、.a和.framework的静态库以及动态连接器dyld等等。利用MachOView可以查看Mach-O文件的内部结构，以Mac微信为例： 1、Mach64 Header（文件头）包含模数、CPU类型、文件类型、加载指令...