我正在研究从该站点获得的OSX-Crisis示例,并尝试对其进行分析以获取乐趣和学习。选择作为Mac二进制文件进行反汇编会导致错误地发现启动功能,从而影响其余的反汇编。我在这里阅读了对恶意软件的分析,并对如何找到正确的入口点地址感到好奇。

我相信可以使用LC_UNIXTHREAD命令eip值来找出它。在这种情况下,我的方法是将IDA中的文件分解为“二进制文件”(而不是mach-o二进制文件),导航至0x409c并按“ C”吗?

评论

看了这个吗?

#1 楼

根据fG!在OSX-Crisis上的博客条目(建议阅读),真正的EntryPoint位于段__INIT_STUB中,并具有代码执行权限。