macOS平台的一款Mach-O混淆工具 – 作者:周大涛

MachObfuscator是一种与编程语言无关的Mach-O应用程序混淆器(适用于Apple平台)。

当前状态

✅ – 表示功能已完成, ❌ – 表示功能是待办事项/正在进行中。

✅ Mach-O iOS

✅ Mach-O macOS

✅ iOS NIB(包括故事板)

⚠️ macOS NIB(包括故事板) – 尚不支持绑定

❌ MOM(CoreData)

❌ Mach-O watchOS

❌ Mach-O tvOS

❌ 位码

❌自动代码重新签名(需要手动重新签名所有图片,请参阅resign.sh

概述

MachObfuscator是一个二进制符号混淆器。这是什么意思?有一些重要的术语:

1.混淆器 – 一种使软件难以逆向的工具。

2.二进制混淆器 – 一种混淆器,它在机器代码上运行,而不是在源代码上运行。

3.符号混淆器 – 一种仅混淆符号名称的混淆器,不会改变程序控制流。

MachObfuscator 直接转换Mach-O文件中的符号。Mach-O格式主要用于Apple平台,作为可执行文件和库的机器代码容器。MachObfuscator不需要访问应用程序源代码以对其进行模糊处理。

演示

让我们看看MachObfuscator混淆SampleApp.app应用程序:

通过在MachOView中打开app的主要可执行文件可以看到结果。MachOView显示模糊的ObjC选择器:

和混淆的ObjC类名:

上面仅显示了样本更改。MachObfuscator更改了更多Mach-O部分。

用法细节

$ ./MachObfuscator
usage: ./MachObfuscator [-qvdhtD] [-m mangler_key] APP_BUNDLE
  Obfuscates application APP_BUNDLE in-place.
Options:
  -h, --help              帮助
  -q, --quiet             安静模式 
  -v, --verbose           输出详细信息
  -d, --debug             调试模式,输出更详细的信息
  --dry-run               不保存模糊文件
  --erase-methtype        擦除methType部分
  -D, --machoview-doom    MachOView在尝试打开二进制文件后崩溃(不适用于caesarMangler
  --swift-reflection      混淆了Swift反射部分(typeref和reflstr)。
  --objc-blacklist-selector NAME[,NAME...]  不会混淆给定的选择器
  --objc-blacklist-selector-regex REGEXP    不会混淆与给定正则表达式匹配的选择器
  --preserve-symtab       不会删除SYMTAB字符串
  --erase-section SEGMENT,SECTION    SECTION擦除给定部分,例如:__TEXT,__ swift5_reflstr
  --erase-source-file-names PREFIX   从二进制文件中擦除源文件路径。删除以给定前缀开头的路径,用常量字符串替换它们
  --replace-cstring STRING          用给定的替换任意__cstring(谨慎使用)。匹配整个字符串,
  --replace-cstring-with STRING      如果需要,可以添加填充0。这些选项必须成对使用。
  --skip-all-frameworks            不会混淆框架
  --skip-framework framework         不会混淆给定的框架
  --obfuscate-framework framework    框架模糊了给定的框架(白名单为--skip-all-frameworks)
  -m mangler_key,
  --mangler mangler_key   选择mangler来生成混淆的符号
Development options:
  --xx-no-analyze-dependencies       不分析依赖关系
Available manglers by mangler_key:
  caesar - ROT13所有objc符号和dyld信息
  realWords - 用随机单词替换objc符号(支持dyld信息混淆)

简单化,MachObfuscator:

1.查找应用包中的所有可执行文件,

2.以递归方式搜索所有依赖库,这些库的依赖关系等等,

3.搜索应用包中的所有NIB文件,

4.区分可模糊文件(应用程序包中的文件)和不可模糊文件(应用程序包外部的文件),

5.从整个依赖图中收集Obj-C符号,导出尝试和导入列表,

6.创建符号白名单和符号黑名单(在不可混淆的文件中使用的符号),

7.使用选定的漫游器修改白名单符号,导出尝试和导入列表,

8.替换可混淆文件中的符号,

9.清除可选的部分,

10.一次保存所有文件。

MachObfuscator在Mach-O部分之后发生变化:

1.__TEXT, __objc_classname – mangles符号名称

2.__TEXT, __objc_methname – mangles符号名称

3..__TEXT, __objc_methtype- mangles符号名称或可选(使用–erase-methtype参数启用)用0s 填充整个部分

4.__TEXT, __swift3_typeref,__TEXT, __swift4_typeref,__TEXT, __swift5_typeref-用填充整段0小号

5.__TEXT, __swift3_reflstr,__TEXT, __swift4_reflstr, __TEXT, __swift5_reflstr-用填充整段0小号

6.LC_DYLD_INFO_ONLY – mangles导出尝试和绑定列表

7.LC_SYMTAB- 用0s 填充整个部分

8.__TEXT, __swift*是Swift的反射机制(Mirror)使用的部分。Mirror即使在清除这些部分之后,也可以返回不太详细的数据。LC_SYMTAB用于lldb。

MachObfuscator不会影响崩溃符号,因为dSYM是在编译期间生成的 – 即在混淆之前。

特约

如果您对改进MachObfuscator有任何想法,那就让我们在Twitter(@ kam800)上聊聊。

如果你想编写一些代码,但对Mach-O感到不舒服,我建议先做一些准备工作:

1.玩MachOView,打开一些二进制文件并尝试感受Mach-O布局。

2./usr/include/mach-o/loader.h从任何macOS 读取。

3.Mach+Loading.swift从MachObfuscator repo中读取。

参考来源:GitHub,FB小编周大涛编译,转载请注明来自FreeBuf.COM

来源:freebuf.com 2019-09-12 01:00:32 by: 周大涛

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论