IDA Pro:“文件受苹果保护”
逆向工程
艾达
苹果系统
2021-07-06 01:03:26
2个回答
如果您查看 macho.cfg,您会发现:
// Key used to decrypt apple-protected binaries.
// Due to copyright reasons we cannot publish the key,
// but we can give you clues...
// http://www.takwing.idv.hk/tech/virtual/faq/no_more_fakesmc.html
SMC_DEVICE_KEY = "";
提到的链接不再有效,但互联网上还有许多其他地方可以找到密钥。
此处提供有关 Apple Binary Protection 的更多详细信息: 为 OS X 创建未检测到的恶意软件
设置SMC_DEVICE_KEY
值~/.idapro/macho.cfg
工作正常。
开箱即用的Hopper Disassembler也可以解密这些二进制文件。
最后,您还可以运行deprotect from class-dump来解密这些二进制文件(__TEXT,__text)
部分。