<<Mac OS 软件安全与逆向分析>> 一

1.入门指令

jz指令:跳转指令,可以理解成如果前面比较指令的比较结果相同则跳转到指定的地址;
jnz指令:与jz指令正好相反,不相等则跳转;
jmp指令:不管任何情况都会进行跳转;
call指令:调用过程指令,一般对应高级语言中的函数调用

2.MacOS目录结构

/usr/bin 目录中存放着用户安装的命令行工具;
/etc 目录存放着系统的配置信息;
/Applications 用用程序目录,存放系统与用户安装的应用程序
/Library 系统应用的数据和文档信息;
/Network 网络邻居虚拟目录;
/System 只有一个 Library 子目录,里面存放了系统运行的重要组件,如框架与内核模块,系统内置的第三方程序;
/Users 所有用户的主目录;
/Volumes 可移动美图,磁盘 dmg镜像的挂载点

3.权限

MacOS 内置staff,wheel,admin三个用户组,所有用户组都属于staff用户组,该组提供了对当前用户自己目录的读写执行权限;
admin用户组允许用户通过sudo命令切换为root用户,默认创建的用户属于admin;
wheel用户组是root用户组,只有uid为0 的root用户才属于该组.

4.系统调用

macOS系统实现了POSIX标准,并扩展了部分内容---加入了MACH-Trap,取名为xnu.
开源地址 : https://opensource.apple.com/source/xnu/

5.进程间通信

5.1 Mach端口(Mach Port)底层的进程间通信方式,消息发送方调用mach_msg_send()发送消息,消息指定了端口号,消息类型,及内容;接收方调用mach_msg_receive()接受指定端口的消息,上层CoreFoundation 提供了CFMachPort,及Foundation童工的NSMachPort对Mach端口进行封装;
5.2 分布式通知(Distributed Notifications),NSDistributedNotificationCenter(注册通知),NSDistributedNotification(接收通知),发送分布式通知,非常消耗资源,频繁发送,应考虑其他方式;
5.3 NSConnection 注册,接收;
5.4 XCP 使用最广泛,NSXCPCConnection;

6.安全框架

6.1 CommonCrypto
6.2 Keychain

7.系统安全机制

7.1 FileVault macOS上的磁盘加密技术
7.2 代码签名查看本机所有签名证书security find-identity -v -p codesigning,签名脚本codesign,查看软件包签名 codesign -d -vv 包名.app
7.3 codesign在签名过程中会改写可执行文件,在文件Load Commands中添加一个LC_CODE_SIGNATURE项,里面会写入代码签名的一些信息.
7.4 程序包签名与单独的二进制签名不同,程序包除了可执行文件还包含各种资源图片,和不同语言的文件,程序包中的所有资源文件都会被签名,并新建一个_CodeSignature/CodeResources的文件夹,其中存储着所有文件的签名Hash信息,其本质上就是一个Plist文件
7.5 对于编译好且已经开启PIE的程序,可以通过手动修改头部flags值来去掉PIE属性,从而达到关闭ASLR的目的,
github脚本:https://github.com/sskaje/disable_aslr/blob/master/disable_aslr.py
7.6 沙盒机制
7.7 Rootless 更少的root权限,又称为SIP(System Intergrity Protection 系统完整性保护),通过Rootless系统可以决定即使第三方程序获取了系统Root权限,也不能做一些事情,比如:文件系统保护,运行时保护,内核扩展限制.
7.8 Gatekeeper 守门人,当我们第一次运行Mac的时候,安装从互联网下载的软件时,会提示,不是从AppStore下载的,不允许装载,系统是怎么知道我们的软件时从哪里下载的

从互联网下载的程序会有一个 @ 标签

yangpei1@localhost downLoad % ls -al
total 11907840
drwxr-xr-x  11 yangpei1  staff         352  9 23 10:38 .
drwxr-xr-x  31 yangpei1  staff         992  6 29 09:09 ..
-rw-r--r--@  1 yangpei1  staff        6148  8 18 16:30 .DS_Store
-rw-r--r--@  1 yangpei1  staff        6148  6 13 14:35 .DS_Store (1)
-rw-r--r--@  1 yangpei1  staff    96341959  9 23 10:38 MACOS软件安全与逆向分析.pdf

8.代码编译

整个编译过程如下:
1.检查依赖(Check dependencies),
2.生成辅助文件(Write auxiliary files),
3.编译(CompileC),
4.链接(Ld),
5.生成调试符号(Generate DSYMFile),
6.代码签名(CodeSign).

最后一步是代码签名,没有指定签名证书的情况下,Xcode默认使用adHoc签名.

9.dyld动态库的加载

1.设置运行环境,处理环境变量
2.初始化主程序
3.加载共享缓存
4.加载插入的动态库
5.链接祝程序
6.链接插入动态库
7.执行弱符号绑定
8.执行初始化方法
9.查找入口点并返回
dyld: 当Mach-O映像加载时,dyld首先会检查该Mach-O映像与所需动态库是否在共享缓存中,如果在,直接将它在共享缓存中的内存地址映射到进程的内存地址空间.