IDA Pro:“文件受苹果保护”

逆向工程 艾达 苹果系统
2021-07-06 01:03:26

我正在尝试在 macOS Sierra 上反汇编 Dock.app,IDA 给了我以下错误消息:

在此处输入图片说明

这是什么意思?

2个回答

如果您查看 macho.cfg,您会发现:

// Key used to decrypt apple-protected binaries.
// Due to copyright reasons we cannot publish the key,
// but we can give you clues...
//   http://www.takwing.idv.hk/tech/virtual/faq/no_more_fakesmc.html

SMC_DEVICE_KEY = "";

提到的链接不再有效,但互联网上还有许多其他地方可以找到密钥。

此处提供有关 Apple Binary Protection 的更多详细信息: 为 OS X 创建未检测到的恶意软件

设置SMC_DEVICE_KEY~/.idapro/macho.cfg工作正常。

开箱即用的Hopper Disassembler也可以解密这些二进制文件。

最后,您还可以运行deprotect from class-dump来解密这些二进制文件(__TEXT,__text)部分。