昨天写的 codesign --remove-signature 的 bug 解决 一文中，在最末尾猜测了可能是 LLVM 的 LTO （link time optimaliztion）的问题，然后今天把 LLVM 的头文件下下来了，打开了 LTO 支持，发现也是可行的。这个就让人摸不着头脑了。不过上面提到的解决方法是没问题的。

如果想要打开 LLVM 的 LTO 支持的话，可以去 LLVM 的官网下载 Pre-built Binaries。比如现在的 LLVM Release 是 4.0.0，那么就下载Clang for Mac OS X。然后加上对应的编译选项 -I/PATH/TO/YOUR/clang+llvm-4.0.0-x86_64-apple-darwin/include（指定头文件搜索 clang+llvm-4.0.0-x86_64-apple-darwin/include 目录）

所以我们什么都不用改，只需要把 Apple 开源的 cctools 中的 codesign_allocate 重新编译一下，问题就神奇的解决了。

不过 codesign_allocate 中的确是存在一处无符号整数溢出的问题，只不过几乎没有影响。

Continue reading codesign_allocate 的 bug 依旧是个谜 →

听说在 macOS 上使用自带的 codesign 来移除应用程序签名的话，会使得 MachO 文件变得不正常，于是就花了点时间来看看 codesign 相关的源代码。虽然有第三方的工具，自己也可以通过简单粗暴的改 MachO 文件来解决，但是探究问题具体出在哪里也很有趣。那么这里将以 Reeder 为例子（其实存在感不强233）讲述。

同样的，在前面我也列出目录，你可以直接跳到解决方案的部分。

• 0x01 - codesign.cpp
• 0x02 - cs_sign.cpp
• 0x03 - SecCodeSigner.cpp
• 0x04 - codesign_allocate.c
• 0x05 - writeout.c
• 0x06 - 解决方案
• 0x07 - Xcode 自带的 codesign_allocate 到底对 MachO 做了什么

Continue reading codesign --remove-signature 的 bug 解决 →

本来是想研究如何“简单”阻止 insert_dylib 注入的，但是好像并没有简单的方法，不过发现了一些 dyld 的东西，虽然目前来看似乎没有太大的意义，可是能拿到的东西肯定不是 dyld 想让应用拿到的。这篇 post 中的方法在 macOS 10.12.4 和 iOS 10.3.2 (14F5089a) 中均测试可行。

关于 iOS / macOS 中 dyld 如何初始化一个 MachO 的运行这里就不详细说了，在网上能找到这方面的一些资料。概要流程引用如下：

1. 从 kernel 留下的原始调用栈引导和启动自己
2. 将程序依赖的动态链接库递归加载进内存，当然这里有缓存机制
3. non-lazy 符号立即 link 到可执行文件，lazy 的存表里
4. Runs static initializers for the executable
5. 找到可执行文件的 main 函数，准备参数并调用
6. 程序执行中负责绑定 lazy 符号、提供 runtime dynamic loading services、提供调试器接口
7. 程序main函数 return 后执行 static terminator
8. 某些场景下 main 函数结束后调 libSystem 的 _exit 函数

——iOS 程序 main 函数之前发生了什么

那么在这篇 post 中，我们关注点是 2 和 4，并且主要在 4 上。

Continue reading Yet Some Dyld Things To Play With →

在看雪论坛上看到了某软件防篡改分析，不过我看到的时候那篇帖子已经删掉了内容。在写这篇 post 的时候发现有人贴上了原始的文章，某软件防篡改分析。

一开始自己在做绕过的时候，只是大概猜到有防注入的措施，但是没有细研究，而是选择了另一个方式，同样实现了 dylib 的注入，并且不需要修改主程序。

Continue reading 绕过某软件防篡改保护 →

于是今天看到有人在问使用 THEOS 来 hook 带有汉字的 Objective-C 的方法时会有类似如下的报错。

$ make
> Making all for tweak UnicodeHook…
==> Preprocessing Tweak.xm…
==> Compiling Tweak.xm (armv7)…
Tweak.xm:3:1: error: missing context for method declaration
- (id)中文方法名 {
^
1 error generated.

于是研究了 THEOS 的源代码，给出了一个简单的解决办法，不仅可以 Hook 带有汉字的方法，带有日文、阿拉伯文等等的方法 / Objective-C 类，只要这些 identifier 在 Objective-C 的语法规则中被认可，那就都可以被 Hook。而且在写 %group 的时候也可以使用除 ACSII 以外的文字了。

Continue reading Theos Hook Objective-C classes / methods with Unicode Characters →

macOS下的QQ还是增加了消息撤回功能，稍微研究了一下，只需要Hook一个函数即可。

可以考虑写一个dylib然后附上去，代码如下。然后至于说是用DYLD_INSERT_LIBRARIES这个环境变量，还是说直接改load_commands就看个人喜好了，这里不展开写。

#import <Foundation/Foundation.h>
#import <objc/runtime.h>

void handleRecallNotifyIsOnline(id, SEL, void *, BOOL) {}

#pragma clang diagnostic push
#pragma clang diagnostic ignored "-Wundeclared-selector"

static void __attribute__((constructor)) initialize(void) {
    method_setImplementation(class_getInstanceMethod(NSClassFromString(@"QQMessageRevokeEngine"), @selector(handleRecallNotify:isOnline:)), (IMP)&handleRecallNotifyIsOnline);
}

#pragma clang diagnostic pop