The Anatomy of a Mach-O: Structure, Code Signing, and Pac
8 months ago
- #Mach-O
- #Binary Format
- #Apple
- Mach-O是苹果操作系统上用于可执行文件、库文件和目标代码的二进制格式。
- Mach-O通过通用二进制支持多架构,并通过加载命令包含元数据。
- Mach-O结构由三个区域组成:头部、加载命令和数据段/节。
- 头部将文件标识为Mach-O格式,指定目标架构,并包含选项标志位。
- 加载命令指导操作系统加载器或提供二进制布局的元数据。
- 段和节将文件内容组织到具有特定保护属性的内存范围中。
- 通用二进制(Fat Mach-O)包含多个架构切片,允许系统在运行时选择适用的版本。
- Mach-O与苹果代码签名集成,要求所有iOS可执行文件必须签名以确保完整性和来源验证。
- 代码签名数据块包含验证组件,如代码目录、权限配置和用于验证的CMS签名。
- 指针验证码(PAC)是ARM64e设备的安全功能,为指针值添加加密签名。
- Mach-O头中的ARM64e架构标识表明支持PAC,确保与支持PAC的处理器兼容。
- PAC通过检测和阻止对指针的未授权修改来增强安全性,增加漏洞利用难度。