[译]反-反汇编 & 混淆 #1: 苹果没有遵循自己制定的Mach-O规范?
原文地址:http://reverse.put.as/2012/02/02/anti-disassembly-obfuscation-1-apple-doesnt-follow-their-own-mach-o-specifications/
当想到这个特性时,我非常高兴!因为我喜欢突破束缚,并且写了一个CrackMe来展示这个有趣的特性。
产生问题的原因是:苹果没有遵循自己的文档与标准(Mach-O方面的),但是逆向工具却要遵循。
当逆向修改过Section信息的Mach-O文件时,IDA可能会崩溃、输出错误的反汇编结果、混乱的字符串,
LLDB输出错误的反汇编结果(不是GDB),class-dump 会失败,逆向工程师看到是无意义的Mach-O文件头。
最后,这是一个有趣的混淆手段。^_^
当你使用IDA加载CrackMe时,程序会报这样的错误:负的Section大小或偏移。
当Sections的信息(偏移或者大小)超过文件大小时,otool也会输出错误的结果。
造成这个问题的具体方法是:修改Mach-O的Section信息。在32位下,Section的结构如下:
struct section { /* for 32-bit architectures */
|
让我们从最容易引起问题的offset字段说起。根据标准offset的定义如下:指示当前Section在文件中的偏移值。
我的理解是:这个字段用来指示代码或者数据在文件的位置。这么理解没错吧?
既然是一个偏移值,那么理论上Section是没有必要是按照顺序排列的或者按照指定的循序排列(主要是指:没有必要跟Section在Segment中顺序一致)。这就打开了错误之门。
如果我们将offset指向其他地址?比如:IDA需要根据offset指向的地址来读取相应的数据。
我们来做一个测试,修改cstring setion的偏移值,然后使用IDA加载修改后的文件。
喔,现在程序中的字符串被“混淆”了,因为IDA加载了错误的数据。
很有意思,是吗?如果你修改Section信息(将offset改成一个错误的值),然后运行对应的程序,程序的行为还完全正确!
同样,修改 text section的便宜后,程序的中指令应该都错了,但是程序还是可以正常运行。
为什么程序还可以正确运行?这是非常有趣的。我认为主要的原因是:内核只是将文件线性的加载到内存而忽略了offset。
《Mac OS X Internal》812页中对execve()系统调用的说明可以解释问题原因。
exec_mach_imgact()函数(bsd/kern/kern_exec.c)会调用load_machfile()函数,
后者主要用来加载可执行文件,处理具体的Mach-O加载命令等。代码片段如下:
@bsd/kern/kern_exec.c
/* |
在load_machfile()内部会调用parse_machfile()函数来解析文件,
@bsd/kern/mach_loader.c
lret = parse_machfile(vp, map, thread, header, file_offset, macho_size, |
在这里我们可以看到有趣的注释:
/*
|
在实现的下部,我们可以看到处理所有command的循环,其中section command是在segment(LC_SEGMENT/LC_SEGMENT_64)command下处理的。
因为我们需要看下load_segment()的实现。
在load_segment()内,我们发现对于可执行文件合法性的验证只是做到了segment一层,并没有验证section。
这也造成我们没法混淆segment :-))。
当parse_machfile()函数返回时,所有的解析工作已经完成,链接的库被加载,程序的入口函数被调用。
程序的布局与其在文件系统中一致(这就是我前面所说的线性),并且section信息根本没有被使用。
这是一种隐性的约定:可执行文件的格式是正确的。
这种行为(指内核加载可执行文件)正确吗?我认为是错误的。因为内核并没有遵循Mach-O标准,或者是我对标准理解有错误?
这又是一个信任不可信数据的例子,我们应该显式的校验输入数据。
我们应该继续了解真个加载过程,在CrackMe中还有另一个有趣的特性;-)。
我们还可以改变这些section结构的这些字段:flags,size, section和segment的名字,section 的顺序。
这样可以迷惑工具和逆向工程师。这里需要注意的是跟内核遵循同样的隐式约定,忽略如上的字段。
看起来有点怪异,是吧?
我希望你享受如上的分析过程,并且为你带来阅读xnu与dyld源代码的动力。
Have fun,
fG!
更新 1:
如下是本文观点的PoC。代码是32位的、non-fat mach-o文件、控制台程序。如果在Objective-C目标上应用这个特性,
会引起加载错误,因为并不是所有的 section 都可以被混淆。
SHA256(manglemacho.c.gz)= d79a612b72130732d7e47b2925fba7fc0b63824622d05f08e7f33641d522a8b5
更新 2:
实际的情况是上section 的所有字段都可以是0,并不会带来什么不利的影响(除了mod_init_func)。
我这样试过,但是没有做笔记。如果不做更深入的混淆,IDA有时还可以聪明得进行反汇编,
原因是入口地址是合法的。我们可以通过修改 size 和 offset 来对IDA进行更深入的迷惑。
通过设置如下工具的第二个参数可以将 section 的所有字段都设置成0.
manglemacho_v0.3.c.gz
SHA256(manglemacho_v0.3.c.gz)= 4b33dc5f43bbb9114e6a8c18dba8894ca44b991cd69a5e5e54bfdcd03607fc9c
.
[译]反-反汇编 & 混淆 #1: 苹果没有遵循自己制定的Mach-O规范?的更多相关文章
- 【Android 应用开发】 Android APK 反编译 混淆 反编译后重编译
反编译工具 : 总结了一下 linux, windows, mac 上的版本, 一起放到 CSDN 上下载; -- CSDN 下载地址 : http://download.csdn.net/detai ...
- 格式化用jad反编译混淆过的代码,能去大部分错误 (zhuanzai)
http://blog.csdn.net/chruan/article/details/8484783
- (Unity)Unity自定义Debug日志文件,利用VS生成Dll文件并使用Dotfuscated进展混淆,避免被反编译
Unity自定义Debug日志文件,利用VS生成Dll文件并使用Dotfuscated进行混淆,避免被反编译. 1.打开VS,博主所用版本是Visual Studio 2013. 2.新建一个VC项目 ...
- C#使用Xamarin开发可移植移动应用进阶篇(9.混淆代码,防止反编译)
前言 系列目录 C#使用Xamarin开发可移植移动应用目录 源码地址:https://github.com/l2999019/DemoApp 可以Star一下,随意 - - 说点什么.. 今天讲讲如 ...
- (译)UEFI 启动:实际工作原理
本文是我翻译自国外技术博客的一篇文章,其中讲述了 UEFI 的一些基本概念和细节. 本文的原始链接位于: https://www.happyassassin.net/2014/01/25/uefi-b ...
- [C#防止反编译].NET 产品版权保护方案 (.NET源码加密保护)
[C#防止反编译].NET 产品版权保护方案 (.NET源码加密保护) 标签: .net加密产品c#dll工具 2011-03-24 21:06 27009人阅读 评论(13) 收藏 举报 分类: C ...
- REST API设计指导——译自Microsoft REST API Guidelines(四)
前言 前面我们说了,如果API的设计更规范更合理,在很大程度上能够提高联调的效率,降低沟通成本.那么什么是好的API设计?这里我们不得不提到REST API. 关于REST API的书籍很多,但是完整 ...
- java 反编译 android 反编译
1. jad http://varaneckas.com/jad/jad158e.linux.intel.zip 下载jad, 给jad运行权限 ,运行 chmod a+x ./jad ./jad ...
- Javascript变量名混淆细节
前言 UglifyJS会对JS文件的变量名进行混淆处理.要理解Javascript变量混淆的细节.我们须要回答下面几个问题: 1.遇到一个变量myName,我们怎么知道这个myName变量要不要混淆 ...
随机推荐
- mac_Alfred_快捷设置
1.安装(不说了去 Google 吧) 2.基础快捷键:option+space 3.打开应用程序:Alfred 几乎是一切程序的入口,你再也不需要找妈妈要开始菜单了.用快捷键呼出Alfred,输入任 ...
- Swift游戏开发实战教程(霸内部信息大学)
Swift游戏开发实战教程(大学霸内部资料) 试读下载地址:http://pan.baidu.com/s/1sj7DvQH 介绍:本教程是国内第一本Swift游戏开发专向资料. 本教程具体解说记忆配对 ...
- Dom中的nodeName、nodeValue 、nodeType
nodeName.nodeValue 以及 nodeType 包含有关于节点的信息. nodeName 属性含有某个节点的名称. 元素节点的 nodeName 是标签名称 属性节点的 nodeName ...
- OCP-1Z0-051-名称解析-文章32称号
32. Which CREATE TABLE statement is valid? A. CREATE TABLE ord_details (ord_no NUMBER(2) PR ...
- 快速构建Windows 8风格应用5-ListView数据控件
原文:快速构建Windows 8风格应用5-ListView数据控件 本篇博文主要介绍什么是ListView数据控件.如何构建ListView数据控件. 什么是ListView数据控件? 1) Li ...
- 苹果iOS苹果公司的手机用户都有权索赔
大家知道.手机中的操作系统(基础软件)存储在手机固(firm,ware)之中,一般而言,手机用户自己是不能修改的. 苹果iOS手机的系统后门(服务程序)也存储在手机固件之中.手机用户自己是无法删除的. ...
- android数据库升级的措辞
在基类table增加upgrade操作: public abstract class DbBaseTable { private static final String TAG = "DbB ...
- Retrofit相关资料
高速Android开发系列网络篇之Retrofithttp://www.w3c.com.cn/%E5%BF%AB%E9%80%9Fandroid%E5%BC%80%E5%8F%91%E7%B3%BB% ...
- IOS开发苹果官方Sample Code及下载地址
IOS开发苹果官方Sample Code及下载地址 在线浏览地址:https://developer.apple.com/library/ios/navigation/#section=Resourc ...
- 使用.net备份和还原数据库
原文:使用.net备份和还原数据库 CSDN网友的提问http://community.csdn.net/Expert/TopicView3.asp?id=4929678C#实现SQLSERVER20 ...