macOS下的Mach-O混淆器:MachObfuscator
- 发表于
- 安全工具
MachObfuscator混淆器
MachObfuscator是一个Apple macOS平台上与编程语言无关的Mach-O二进制符号混淆器。这是什么意思?有一些重要的术语:
- 混淆器:一种使软件难以逆向的工具。
- 二进制混淆器:一种混淆器,它在机器代码上运行,而不是在源代码上运行。
- 符号混淆器:一种仅混淆符号名称的混淆器,不会改变程序控制流。
MachObfuscator 直接转换Mach-O文件中的符号。Mach-O格式主要用于Apple平台,作为可执行文件和库的机器代码容器。MachObfuscator不需要访问应用程序源代码以对其进行模糊处理。
演示
让我们看看MachObfuscator混淆 SampleApp.app
应用:
通过在MachOView中打开app的主要可执行文件可以看到结果。MachOView显示模糊的ObjC选择器:
和混淆的ObjC类名:
上面仅显示了样本更改。MachObfuscator更改了更多Mach-O部分。
使用说明
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 |
$ ./MachObfuscator usage: ./MachObfuscator [-qvdhtD] [-m mangler_key] APP_BUNDLE Obfuscates application APP_BUNDLE in-place. Options: -h, --help help screen (this screen) -q, --quiet quiet mode, no output to stdout -v, --verbose verbose mode, output verbose info to stdout -d, --debug debug mode, output more verbose info to stdout --dry-run analyze only, do not save obfuscated files --erase-methtype erase methType section (objc/runtime.h methods may work incorrectly) -D, --machoview-doom MachOViewDoom, MachOView crashes after trying to open your binary (doesn't work with caesarMangler) --swift-reflection obfuscate Swift reflection sections (typeref and reflstr). May cause problems for Swift >= 4.2 --objc-blacklist-selector NAME[,NAME...] do not obfuscate given selectors --objc-blacklist-selector-regex REGEXP do not obfuscate selectors matching given regular expression --preserve-symtab do not erase SYMTAB strings --erase-section SEGMENT,SECTION erase given section, for example: __TEXT,__swift5_reflstr --erase-source-file-names PREFIX erase source file paths from binary. Erases paths starting with given prefix by replacing them by constant string --replace-cstring STRING replace arbitrary __cstring with given replacement (use with caution). Matches entire string, --replace-cstring-with STRING adds padding 0's if needed. These options must be used as a pair. --skip-all-frameworks do not obfuscate frameworks --skip-framework framework do not obfuscate given framework --obfuscate-framework framework obfuscate given framework (whitelist for --skip-all-frameworks) -m mangler_key, --mangler mangler_key select mangler to generate obfuscated symbols Development options: --xx-no-analyze-dependencies do not analyze dependencies Available manglers by mangler_key: caesar - ROT13 all objc symbols and dyld info realWords - replace objc symbols with random words (dyld info obfuscation supported) |
MachObfuscator如何工作?
- 查找应用包中的所有可执行文件,
- 以递归方式搜索所有依赖库,这些库的依赖关系等等,
- 搜索应用包中的所有NIB文件,
- 区分可模糊文件(应用程序包中的文件)和不可模糊文件(应用程序包外部的文件),
- 从整个依赖图中收集Obj-C符号,导出尝试和导入列表,
- 创建符号白名单和符号黑名单(在不可混淆的文件中使用的符号),
- 使用选定的漫游器修改白名单符号,导出尝试和导入列表,
- 替换可混淆文件中的符号,
- 清除可选的部分,
- 一次保存所有文件。
原文连接:macOS下的Mach-O混淆器:MachObfuscator
所有媒体,可在保留署名、
原文连接
的情况下转载,若非则不得使用我方内容。