Mach-O解析Header , LoadCommand, Section

\color{red}{转载请注明出处}

此文章是直接手动解析Mach-O , 可以根据Mach-O解析出类名列表, 方法列表, 符号表等你需要的信息

参考文章:

个人博客Mach-O格式分析
官网xnu文件
MachOView源码

贴一个特别经典的图解

image.png

废话不多说, 直接上代码

main.m代码:

#import <Foundation/Foundation.h>
#import <mach-o/loader.h>
#import "Mach_Header_Parser.h"
#import "Load_Command_Parser.h"


int main(int argc, const char * argv[]) {
    @autoreleasepool {
        
        NSString * machoPath =@"/Users/dinghao/Documents/Demo/MachO/MachO/MachO1";
        NSData * data = [NSData dataWithContentsOfFile:machoPath];

        //用堆来保存整个MachO
        void * file_buf = malloc(data.length);
        [data getBytes:file_buf length:data.length];
        
        //把macho指针交给Mach_Header_Parser解析类,去解析Header
        struct mach_header_64 *mh =  [Mach_Header_Parser mach_header_parserMachO:file_buf];
              
        //把macho指针以及header信息交给Load_Command_Parser解析类,去解析Load_command
        [Load_Command_Parser load_Command_ParserMacho:file_buf mach_header:mh];
        
        free(file_buf);
    }
    return 0;
}

Mach_Header_Parser 用来解析Mach-O的header部分

Mach_Header_Parser.h

#import <Foundation/Foundation.h>

NS_ASSUME_NONNULL_BEGIN

@interface Mach_Header_Parser : NSObject
+ (struct mach_header_64 *)mach_header_parserMachO:(void*)data;
@end

Mach_Header_Parser.m

#import "Mach_Header_Parser.h"
#import <mach-o/loader.h>

@implementation Mach_Header_Parser
+ (struct mach_header_64 *)mach_header_parserMachO:(void*)data
{
    struct mach_header_64 *mh = (struct mach_header_64*)data;
    uint32_t magic = mh->magic;
    
    cpu_type_t cputype = mh->cputype;
    
    uint32_t filetype = mh->filetype;
    
    uint32_t ncmds = mh->ncmds;
    
    uint32_t sizeofcmds = mh->sizeofcmds;
    NSLog(@"MAGIC类型:%@:",[self getMAGIC:magic] );

    NSLog(@"cpu类型:%@:",[self getCPUType:cputype] );
    NSLog(@"Mach-O类型:%@",[self getFileType:filetype]);
    NSLog(@"Load Commands 数量:%d",ncmds);

    NSLog(@"Load Commands 大小:%d",sizeofcmds);
    
    return mh;
}

+ (NSString *)getMAGIC:(uint32_t)magic
{
    switch (magic) {
        case MH_MAGIC:
            return @"MH_MAGIC";
            
        case MH_CIGAM:
            return @"MH_CIGAM";
            
            break;
        case MH_MAGIC_64:
            return @"MH_MAGIC_64";
            
            break;
        case MH_CIGAM_64:
            return @"MH_CIGAM_64";
        default:
            return @"magic error";
    }
    
}
+ (NSString *)getCPUType:(cpu_type_t)cputype
{
  switch (cputype)
  {
      case CPU_TYPE_I386:      return @"CPU_TYPE_I386";
      case CPU_TYPE_POWERPC:   return  @"CPU_TYPE_POWERPC" ;
      case CPU_TYPE_X86_64:    return  @"CPU_TYPE_X86_64" ;
      case CPU_TYPE_POWERPC64:  return  @"CPU_TYPE_POWERPC64" ;
      case CPU_TYPE_ARM:       return @"CPU_TYPE_ARM" ;
      case CPU_TYPE_ARM64:     return @"CPU_TYPE_ARM64" ;
      default: return @"cputype error";

  }
}

+ (NSString *)getFileType:(uint32_t)filetype
{
    switch (filetype) {
        case MH_OBJECT :  return @"MH_OBJECT" ;
        case MH_EXECUTE :  return @"MH_EXECUTE" ;
        case MH_FVMLIB :  return @"MH_FVMLIB" ;
        case MH_CORE :  return @"MH_CORE" ;
        case MH_PRELOAD :  return @"MH_PRELOAD" ;
        case MH_DYLIB :  return @"MH_DYLIB" ;
        case MH_DYLINKER :  return @"MH_DYLINKER" ;
        case MH_BUNDLE :  return @"MH_BUNDLE" ;
        case MH_DYLIB_STUB :  return @"MH_DYLIB_STUB" ;
        case MH_DSYM :  return @"MH_DSYM" ;
        case MH_KEXT_BUNDLE :  return @"MH_KEXT_BUNDLE" ;
            default: return @"filetype error";
    }
}

Load_Command_Parser 用来解析Mach-O的Load Command部分

Load_Command_Parser.h

#import <Foundation/Foundation.h>

NS_ASSUME_NONNULL_BEGIN

@interface Load_Command_Parser : NSObject
+ (void)load_Command_ParserMacho:(void*)data mach_header:(struct mach_header_64*)mh;
@end

NS_ASSUME_NONNULL_END

Load_Command_Parser.m


#import "Load_Command_Parser.h"
#import <mach-o/loader.h>
#import "Section_Header_Parser.h"
@implementation Load_Command_Parser
+ (void)load_Command_ParserMacho:(void*)data mach_header:(struct mach_header_64*)mh
{
    // Load Commands 里面包含的都是一个一个的SEGMENT
    struct load_command *load_commands =(struct load_command *)(data + sizeof(struct mach_header_64));

    
    struct segment_command_64 *currentSegment =(struct segment_command_64  *)load_commands;
    
    
    for (int i = 0; i < mh->ncmds; i++) {
        
        uint32_t currentSegment_Size = currentSegment->cmdsize;
        
        struct segment_command_64* nextCmd = (struct segment_command_64 *)(((void*)currentSegment)+currentSegment_Size);

        struct segment_command_64 * segment_com = (struct segment_command_64 *)currentSegment;
        
       
        // 这里我们只看LC_SEGMENT_64(_TEXT) 和 LC_SEGMENT_64(DATA)
        
        switch (segment_com->cmd) {
            case LC_SEGMENT_64:
            {
                NSLog(@"cmd = %@" ,[self commandName:segment_com->cmd]  );
                NSLog(@"cmdsize = %x" , segment_com->cmdsize);
                NSLog(@"segName = %s",segment_com->segname);
                if (strcmp(segment_com->segname , "__TEXT") == 0) {
                    //将MachO指针和Section Header信息交给Section_Header_Parser去解析
                    [Section_Header_Parser section_Header_Parser:segment_com MachO:data];
                    
                }
                else if (strcmp(segment_com->segname , "__DATA") == 0)
                {
                     //处理方法同上
                }
            }
                break;
                
            default:
                break;
        }
        
        currentSegment = nextCmd;

    }

}

+ (NSString *)commandName:(uint32_t)cmd;
{
    switch (cmd) {
        case LC_SEGMENT:               return @"LC_SEGMENT";
        case LC_SYMTAB:                return @"LC_SYMTAB";
        case LC_SYMSEG:                return @"LC_SYMSEG";
        case LC_THREAD:                return @"LC_THREAD";
        case LC_UNIXTHREAD:            return @"LC_UNIXTHREAD";
        case LC_LOADFVMLIB:            return @"LC_LOADFVMLIB";
        case LC_IDFVMLIB:              return @"LC_IDFVMLIB";
        case LC_IDENT:                 return @"LC_IDENT";
        case LC_FVMFILE:               return @"LC_FVMFILE";
        case LC_PREPAGE:               return @"LC_PREPAGE";
        case LC_DYSYMTAB:              return @"LC_DYSYMTAB";
        case LC_LOAD_DYLIB:            return @"LC_LOAD_DYLIB";
        case LC_ID_DYLIB:              return @"LC_ID_DYLIB";
        case LC_LOAD_DYLINKER:         return @"LC_LOAD_DYLINKER";
        case LC_ID_DYLINKER:           return @"LC_ID_DYLINKER";
        case LC_PREBOUND_DYLIB:        return @"LC_PREBOUND_DYLIB";
        case LC_ROUTINES:              return @"LC_ROUTINES";
        case LC_SUB_FRAMEWORK:         return @"LC_SUB_FRAMEWORK";
        case LC_SUB_UMBRELLA:          return @"LC_SUB_UMBRELLA";
        case LC_SUB_CLIENT:            return @"LC_SUB_CLIENT";
        case LC_SUB_LIBRARY:           return @"LC_SUB_LIBRARY";
        case LC_TWOLEVEL_HINTS:        return @"LC_TWOLEVEL_HINTS";
        case LC_PREBIND_CKSUM:         return @"LC_PREBIND_CKSUM";
            
        case LC_LOAD_WEAK_DYLIB:       return @"LC_LOAD_WEAK_DYLIB";
        case LC_SEGMENT_64:            return @"LC_SEGMENT_64";
        case LC_ROUTINES_64:           return @"LC_ROUTINES_64";
        case LC_UUID:                  return @"LC_UUID";
        case LC_RPATH:                 return @"LC_RPATH";
        case LC_CODE_SIGNATURE:        return @"LC_CODE_SIGNATURE";
        case LC_SEGMENT_SPLIT_INFO:    return @"LC_SEGMENT_SPLIT_INFO";
        case LC_REEXPORT_DYLIB:        return @"LC_REEXPORT_DYLIB";
        case LC_LAZY_LOAD_DYLIB:       return @"LC_LAZY_LOAD_DYLIB";
        case LC_ENCRYPTION_INFO:       return @"LC_ENCRYPTION_INFO";
        case LC_DYLD_INFO:             return @"LC_DYLD_INFO";
        case LC_DYLD_INFO_ONLY:        return @"LC_DYLD_INFO_ONLY";
        case LC_LOAD_UPWARD_DYLIB:     return @"LC_LOAD_UPWARD_DYLIB";
        case LC_VERSION_MIN_MACOSX:    return @"LC_VERSION_MIN_MACOSX";
        case LC_VERSION_MIN_IPHONEOS:  return @"LC_VERSION_MIN_IPHONEOS";
        case LC_FUNCTION_STARTS:       return @"LC_FUNCTION_STARTS";
        case LC_DYLD_ENVIRONMENT:      return @"LC_DYLD_ENVIRONMENT";

        case LC_LINKER_OPTION:            return @"LC_LINKER_OPTION";
        case LC_LINKER_OPTIMIZATION_HINT: return @"LC_LINKER_OPTIMIZATION_HINT";
        case LC_VERSION_MIN_TVOS:         return @"LC_VERSION_MIN_TVOS";
        case LC_VERSION_MIN_WATCHOS:      return @"LC_VERSION_MIN_WATCHOS";
        case LC_NOTE:                     return @"LC_NOTE";
        case LC_BUILD_VERSION:            return @"LC_BUILD_VERSION";

        default:
            break;
    }

    return [NSString stringWithFormat:@"0x%08x", cmd];
}
@end
Section_Header_Parser 用来解析Load Commmand中的section的信息, 位置, 长度, 偏移, 名字等, 具体的内容下面的类来解析

Section_Header_Parser.h

#import <Foundation/Foundation.h>
#import <mach-o/loader.h>

NS_ASSUME_NONNULL_BEGIN

@interface Section_Header_Parser : NSObject
+ (void)section_Header_Parser:(struct segment_command_64 *)lc_segment MachO:(void*)data;
@end

NS_ASSUME_NONNULL_END

Section_Header_Parser.m

#import "Section_Header_Parser.h"
#import "Section_Parser.h"
@implementation Section_Header_Parser
+ (void)section_Header_Parser:(struct segment_command_64 *)lc_segment MachO:(void*)data
{
    struct segment_command_64 * segment_com = (struct segment_command_64 *)lc_segment;
    
    
    if (segment_com->nsects >0) {
        // 必须先转成void* 或者uint8_t来计算, 要不然算的不对
        struct section_64 * section_header = (struct section_64 *)((void *)lc_segment+sizeof(struct segment_command_64));
        
        
        for (int i = 0; i< segment_com->nsects; i++) {
            
            
            uint32_t section_size = sizeof(struct section_64);

            struct section_64 * next_section_header = (struct section_64 *)((void*)section_header+section_size);
          
            NSLog(@"Section ---- name = %s",section_header->sectname);
            
            // 用strncmp是因为__objc_classname__TEXT这个classname后面没有\0, 所以会把下一句__TEXT给带上, 可以限制下输出长度16也行
//            if (strncmp(section_header->sectname, "__objc_methname", strlen("__objc_methname"))==0) {
//                [Section_Parser section_parser:section_header MachO:data];
//            }
//            
            // 获取className , 也可以自己写获取其他的信息
            if (strncmp(section_header->sectname, "__objc_classname", strlen("__objc_classname"))==0) {
                [Section_Parser section_parser:section_header MachO:data];

            }
            
            section_header = next_section_header;
            
        }
    }
    
    
}
@end
Section_Parser 用来解析section 具体的内容

Section_Parser.h

#import <Foundation/Foundation.h>
#import <mach-o/loader.h>

NS_ASSUME_NONNULL_BEGIN

@interface Section_Parser : NSObject
+ (void)section_parser:(struct section_64 *)section_header MachO:(void*)data;
@end

NS_ASSUME_NONNULL_END

Section_Parser.m

#import "Section_Parser.h"

@implementation Section_Parser
+ (void)section_parser:(struct section_64 *)section_header MachO:(void*)data
{
    
    uint32_t offset = section_header->offset;
    int size = (int)section_header->size;
    
    
    NSData *dataClassName = [NSData dataWithBytesNoCopy:data+offset length:size freeWhenDone:NO];
    NSString * strClassName = [[NSString alloc]initWithData:dataClassName encoding:NSUTF8StringEncoding];
    
    NSLog(@"strClassName = %@",strClassName);
    NSArray * arrayClassName = [strClassName componentsSeparatedByString:@"\00"];
    
    [arrayClassName enumerateObjectsUsingBlock:^(id  _Nonnull obj, NSUInteger idx, BOOL * _Nonnull stop) {
  
        
        if (![obj isEqualToString:@""]) {
            NSLog(@"list [%lu] = %@ ",(unsigned long)idx,obj);
        }
    }];

}

@end

结果:

image.png
打印name 出问题的句子 __objc_classname__TEXT , 看图是因为别的都有00来结尾, 结果__objc_classname没有00 , 也就是没有\0, 说以我用%s输出就连在一起了
image.png

解析Mach-O的方式就在上面的代码中, 已经调试过了 , 全拷贝是可以直接运行的, 想解析其他的也可以按照上面的格式 ,再参考我提到的文章, 就可以顺利解析Mach-O , 符号表, 之类的都可以通过以上方式解析

\color{red}{转载请注明出处}

最后编辑于
?著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,128评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,316评论 3 388
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事?!?“怎么了?”我有些...
    开封第一讲书人阅读 159,737评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,283评论 1 287
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,384评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,458评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,467评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,251评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,688评论 1 306
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,980评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,155评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,818评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,492评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,142评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,382评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,020评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,044评论 2 352