我试图在macOS Sierra上反汇编Dock.app,而IDA给我此错误消息:



这是什么意思? />

#1 楼

如果您在macho.cfg中查找,您会发现:

// Key used to decrypt apple-protected binaries.
// Due to copyright reasons we cannot publish the key,
// but we can give you clues...
//   http://www.takwing.idv.hk/tech/virtual/faq/no_more_fakesmc.html

SMC_DEVICE_KEY = "";


上面提到的链接不再起作用,但是互联网上还有很多其他地方可以找到该密钥。

#2 楼

在这里,您可以获得有关Apple Binary Protection的更多详细信息:
为OS X创建未检测到的恶意软件

SMC_DEVICE_KEY中设置~/.idapro/macho.cfg值可以正常工作。也可以解密这些二进制文件。

最后,您还可以从class-dump运行deprotect来解密这些二进制文件(__TEXT,__text)部分。